Рекомендация Debian по безопасности

DSA-3029-1 nginx -- обновление безопасности

Дата сообщения:
20.09.2014
Затронутые пакеты:
nginx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 761940.
В каталоге Mitre CVE: CVE-2014-3616.
Более подробная информация:

Антуан Делинэ-Лаву и Картикян Бхаргаван обнаружили, что имеется возможность повторного использования кэшированных сессий SSL в несвязанных контекстах, что может приводить к атакам по принципу подмены виртуального узла при наличии некоторых настроек. Атака может быть выполнена злоумышленником, занимающие привилегированную сетевую позицию.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.2.1-2.2+wheezy3.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 1.6.2-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.6.2-1.

Рекомендуется обновить пакеты nginx.