Debian セキュリティ勧告

DSA-3029-1 nginx -- セキュリティ更新

報告日時:

2014-09-20

影響を受けるパッケージ:

nginx

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 761940.
Mitre の CVE 辞書: CVE-2014-3616.

詳細:

Antoine Delignat-Lavaud さんと Karthikeyan Bhargavan さんが、キャッシュされたSSLセッションを無関係の文脈で再利用できることを発見しています。設定によっては、ネットワーク上の権限のある地位にいる攻撃者による仮想ホスト混乱攻撃を許します。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.2.1-2.2+wheezy3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1.6.2-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.6.2-1 で修正されています。

直ちに nginx パッケージをアップグレードすることを勧めます。