Säkerhetsbulletin från Debian

DSA-3029-1 nginx -- säkerhetsuppdatering

Rapporterat den:
2014-09-20
Berörda paket:
nginx
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 761940.
I Mitres CVE-förteckning: CVE-2014-3616.
Ytterligare information:

Antoine Delignat-Lavaud och Karthikeyan Bhargavan upptäckte att det var möjligt att återanvända cachade SSL-sessioner i orelaterade sammanhang, vilket tillåter virtuella host-förvirringsangrepp i vissa konfigurationer av en angripare i en priviligierad nätverksposition.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.1-2.2+wheezy3.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.6.2-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.6.2-1.

Vi rekommenderar att ni uppgraderar era nginx-paket.