Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в реализации STARTTLS
Доступны корректирующие выпуски nginx 1.6.1 и 1.7.4, в которых устранена уязвимость (CVE-2014–3556) в реализации механизма STARTTLS, проявляющаяся только при использовании nginx в роли SMTP-прокси. Уязвимость проявляется начиная с выпуска 1.5.6 и вызвана продолжением обработки pipelined-команд после команды STARTTLS, что позволяло злоумышленнику при проведении MITM-атаки организовать подстановку своих команд в рамках установленного клиентом SSL-сеанса. Кроме устранения уязвимости и исправления ошибок в nginx 1.7.4 добавлена поддержка сборки с библиотеками BoringSSL и LibreSSL (форки OpenSSL от Google и OpenBSD). В новом выпуске также изменён метод экранирования символов в URI (используются шестнадцатеричные цифры в верхнем регистре).
© OpenNet