Рекомендация Debian по безопасности
DSA-3029-1 nginx -- обновление безопасности
- Дата сообщения:
- 20.09.2014
- Затронутые пакеты:
- nginx
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 761940.
В каталоге Mitre CVE: CVE-2014-3616. - Более подробная информация:
-
Антуан Делинэ-Лаву и Картикян Бхаргаван обнаружили, что имеется возможность повторного использования кэшированных сессий SSL в несвязанных контекстах, что может приводить к атакам по принципу подмены виртуального узла при наличии некоторых настроек. Атака может быть выполнена злоумышленником, занимающие привилегированную сетевую позицию.
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.2.1-2.2+wheezy3.
В тестируемом выпуске (jessie) эта проблема была исправлена в версии 1.6.2-1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.6.2-1.
Рекомендуется обновить пакеты nginx.