Устранена критическая уязвимость в nginx

[Kate]

Уязвимость позволяла выполнить произвольный код на целевой системе.

 

 

 

Вышло внеплановое обновление сервера nginx до версии 1.4.1, в котором устранена уязвимость CVE-2013-2028, позволяющая выполнить произвольный код на целевой ситеме.

 

Уязвимость может привести к перезаписи областей стека рабочего процесса при обработке специально оформленных chunked-запросов. Бреши подвержены реализации nginx версий 1.3.9 и 1.4.0.

 

Соответствующее обновление было выпущено также для портов FreeBSD с версией 1.4.0.

 

В качестве дополнительного метода устранения уязвимости производитель предлагает в каждом из блоков server{} запретить обработку chunked-запросов таким образом:

 

if ($http_transfer_encoding ~* chunked) {

return 444;

}

 

Редакция SecurityLab.ru рекомендует устранить уязвимость в кратчайшие сроки. С подробным описанием уязвимости можно ознакомиться по адресу:

http://www.securitylab.ru/vulnerability/440186.php

 

Источник: securitylab.ru