Bulletin d'alerte Debian

DSA-2802-1 nginx -- Contournement de restrictions

Date du rapport :
21 novembre 2013
Paquets concernés :
nginx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 730012.
Dans le dictionnaire CVE du Mitre : CVE-2013-4547.
Plus de précisions :

Ivan Fratric de l'équipe de sécurité de Google a découvert un bogue dans nginx, un serveur web, qui autoriserait un attaquant à contourner les restrictions de sécurité en utilisant une requête contrefaite pour l'occasion.

La distribution oldstable (Squeeze) n'est pas concernée par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.2.1-2.2+wheezy2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.4-1.

Nous vous recommandons de mettre à jour vos paquets nginx.