Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2802-1 nginx

Bulletin d'alerte Debian

DSA-2802-1 nginx -- Contournement de restrictions

Date du rapport :

21 novembre 2013

Paquets concernés :

nginx

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 730012.
Dans le dictionnaire CVE du Mitre : CVE-2013-4547.

Plus de précisions :

Ivan Fratric de l'équipe de sécurité de Google a découvert un bogue dans nginx, un serveur web, qui autoriserait un attaquant à contourner les restrictions de sécurité en utilisant une requête contrefaite pour l'occasion.

La distribution oldstable (Squeeze) n'est pas concernée par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.2.1-2.2+wheezy2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.4-1.

Nous vous recommandons de mettre à jour vos paquets nginx.