Bulletin d'alerte Debian

DLA-2680-1 nginx -- Mise à jour de sécurité pour LTS

Date du rapport :
7 juin 2021
Paquets concernés :
nginx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-20005.
Plus de précisions :

Jamie Landeg-Jones et Manfred Paul ont découvert une vulnérabilité de dépassement de tampon dans NGINX, un serveur web et mandataire petit, puissant et évolutif.

NGINX possédait un dépassement de tampon pour les années excédant quatre chiffres, comme le montre un fichier avec une date de modification en 1969 qui provoque un dépassement d'entier (ou une date de modification erronée loin dans le futur), lorsqu'elles sont rencontrées par le module autoindex.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1.10.3-1+deb9u7.

Nous vous recommandons de mettre à jour vos paquets nginx.

Pour disposer d'un état détaillé sur la sécurité de nginx, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/nginx.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.