Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4335-1 nginx

Bulletin d'alerte Debian

DSA-4335-1 nginx -- Mise à jour de sécurité

Date du rapport :

8 novembre 2018

Paquets concernés :

nginx

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-16843, CVE-2018-16844, CVE-2018-16845.

Plus de précisions :

Trois vulnérabilités ont été découvertes dans Nginx, un serveur web et mandataire inverse à haute performance, qui pourraient avoir pour conséquence un déni de service dans le traitement de HTTP/2 (au moyen d'une utilisation excessive de la mémoire et du CPU) ou une divulgation de la mémoire du serveur dans le module ngx_http_mp4_module (utilisé pour la diffusion de flux MP4 côté serveur).

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.10.3-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets nginx.

Pour disposer d'un état détaillé sur la sécurité de nginx, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/nginx.