Debians sikkerhedsbulletin

DSA-3701-1 nginx -- sikkerhedsopdatering

Rapporteret den:
25. okt 2016
Berørte pakker:
nginx
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-1247.
Yderligere oplysninger:

Dawid Golunski rapporterede at nginx-webserverpakkerne i Debian, var ramt af en rettighedsforøgelsessårbarhed (www-data til root), på grund af den måde logfiler håndteres på. Desuden er /var/log/nginx tilgængelige for lokale brugere, og lokale brugere kan være i stand til at læse logfilerne, som selv er lokale indtil det næste kald af logrotate.

I den stabile distribution (jessie), er dette problem rettet i version 1.6.2-5+deb8u3.

Vi anbefaler at du opgraderer dine nginx-pakker.