Debians sikkerhedsbulletin

DSA-2721-1 nginx -- bufferoverløb

Rapporteret den:
7. jul 2013
Berørte pakker:
nginx
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 708164.
I Mitres CVE-ordbog: CVE-2013-2070.
Yderligere oplysninger:

Et bufferoverløb er opdaget i nginx, en lille ydedygtig, skalerbar web-/proxyserver, når der behandles visse chunked overførselsencodingforespørgsler, hvis proxy_pass benyttes ved opstrøms-HTTP-servere, som der ikke er tillid til. En angriber kunne udnytte fejlen til at udføre et lammelsesangreb (denial of service), afsløre arbejderprocessers hukommelse eller muligvis udføre vilkårlig kode.

Den gamle stabile distribution (squeeze) er ikke påvirket af dette problem.

I den stabile distribution (wheezy), er dette problem rettet i version 1.2.1-2.2+wheezy1.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.1-1.

Vi anbefaler at du opgraderer dine nginx-pakker.