Информация по безопасности / 2014 / Информация о безопасности -- DSA-3029-1 nginx

Рекомендация Debian по безопасности

DSA-3029-1 nginx -- обновление безопасности

Дата сообщения:

20.09.2014

Затронутые пакеты:

nginx

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 761940.
В каталоге Mitre CVE: CVE-2014-3616.

Более подробная информация:

Антуан Делинэ-Лаву и Картикян Бхаргаван обнаружили, что имеется возможность повторного использования кэшированных сессий SSL в несвязанных контекстах, что может приводить к атакам по принципу подмены виртуального узла при наличии некоторых настроек. Атака может быть выполнена злоумышленником, занимающие привилегированную сетевую позицию.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.2.1-2.2+wheezy3.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 1.6.2-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.6.2-1.

Рекомендуется обновить пакеты nginx.