Bulletin d'alerte Debian

DLA-55-1 nginx -- Mise à jour de sécurité pour LTS

Date du rapport :
17 septembre 2014
Paquets concernés :
nginx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3616.
Plus de précisions :

Antoine Delignat-Lavaud a découvert qu'il était possible de réutiliser des sessions SSL dans des contextes sans rapport, si un cache de session SSL partagé ou une même clef de ticket de session TLS étaient utilisés pour plusieurs blocs server.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.7.67-3+squeeze4 de nginx.