Säkerhetsbulletin från Debian

DSA-3701-1 nginx -- säkerhetsuppdatering

Rapporterat den:
2016-10-25
Berörda paket:
nginx
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-1247.
Ytterligare information:

Dawid Golunski rapporterade att webbserverpaketen nginx i Debian led från en sårbarhet rörande utökning av privilegier (www-data till root) på grund av sättet som loggfiler hanteras. Denna säkerhetsuppdatering ändrar ägarskapet på folderroten /var/log/nginx. Utöver detta måste /var/log/nginx göras tillgänlig till lokala användare, och lokala användare kan ha möjlighet att läsa loggfilerna lokalt själva tills nästa körning av logrotate.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.6.2-5+deb8u3.

Vi rekommenderar att ni uppgraderar era nginx-paket.