Рекомендация Debian по безопасности

DSA-3701-1 nginx -- обновление безопасности

Дата сообщения:
25.10.2016
Затронутые пакеты:
nginx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-1247.
Более подробная информация:

Давид Голунский сообщил, что пакеты веб-сервера nginx в Debian подвержены повышению привилегий (www-data до root) в связи с обработкой слишком длинных файлов журнала. Данное обновление безопасности изменяет владельца каталога /var/log/nginx. Кроме того, /var/log/nginx сделан доступным локальным пользователям, локальные пользователи могут прочитать файлы журнала до следующего вызова logrotate.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.6.2-5+deb8u3.

Рекомендуется обновить пакеты nginx.