Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2721-1 nginx

Bulletin d'alerte Debian

DSA-2721-1 nginx -- Dépassement de tampon

Date du rapport :

7 juillet 2013

Paquets concernés :

nginx

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 708164.
Dans le dictionnaire CVE du Mitre : CVE-2013-2070.

Plus de précisions :

Un dépassement de tampon a été identifié dans nginx – un serveur web et mandataire (proxy) compact, puissant et évolutif – lors du traitement de certaines demandes d’encodage de transfert en bloc en cas d’utilisation de proxy_pass vers des serveurs HTTP amont qui ne sont pas de confiance. Un attaquant pourrait utiliser ce défaut pour réaliser des attaques par déni de service, dévoiler la mémoire du processus worker ou éventuellement exécuter du code arbitraire.

La distribution oldstable (Squeeze) n'est pas concernée par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.2.1-2.2+wheezy1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.1-1.

Nous vous recommandons de mettre à jour vos paquets nginx.