Bulletin d'alerte Debian

DLA-1572-1 nginx -- Mise à jour de sécurité pour LTS

Date du rapport :
8 novembre 2018
Paquets concernés :
nginx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-16845.
Plus de précisions :

Il existait a une vulnérabilité de déni de service (DoS) dans le serveur web/mandataire nginx.

Comme il n’existait pas de validation pour la taille d’atom de 64 bits dans un fichier MP4, cela pouvait conduire à une utilisation excessive de CPU lorsque la taille était zéro, ou à divers autres problèmes à cause d’un dépassement d'entier par le bas lors du calcul de la taille de données d’atom, incluant des erreurs de segmentation ou même une divulgation de mémoire du processus au travail.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.6.2-5+deb8u6 de nginx.

Nous vous recommandons de mettre à jour vos paquets nginx.