Bulletin d'alerte Debian

DSA-3701-1 nginx -- Mise à jour de sécurité

Date du rapport :
25 octobre 2016
Paquets concernés :
nginx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1247.
Plus de précisions :

Dawid Golunski a signalé que les paquets du serveur web nginx dans Debian souffraient d'une vulnérabilité d'augmentation de droits (de www-data à root) due à la manière dont les fichiers de journalisation sont gérés. Cette mise à jour de sécurité modifie la propriété du répertoire racine /var/log/nginx. En complément, /var/log/nginx doit être rendu accessible aux utilisateurs locaux, et des utilisateurs locaux peuvent être capable de lire les fichiers de journalisation locaux eux-mêmes jusqu'à l'invocation suivante de logrotate.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.6.2-5+deb8u3.

Nous vous recommandons de mettre à jour vos paquets nginx.