Обновление nginx 1.4.7 и 1.5.12 с устранением опасной уязвимости в реализации SPDY

18 марта 2014 года

Доступны обновления стабильной ( 1.4.7) и находящейся в разработке ( 1.5.12) веток http-сервера nginx с устранением уязвимости (CVE-2014-0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести в выполнению кода атакующего с правами рабочего процесса nginx.

Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима ("--with-debug"), в которых в файле конфигурации активирована опция "spdy" в директиве "listen".

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление nginx 1.4.7 и 1.5.12 с устранением опасной уязвимости в реализации SPDY», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.