Обновление nginx 1.4.7 с устранением опасной уязвимости в реализации SPDY

Доступны обновления стабильной (1.4.7) и экспериментальной (1.5.12) ветки http-сервера nginx с устранением уязвимости (CVE-2014–0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести в выполнению кода атакующего с правами рабочего процесса nginx. Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима (»--with-debug»), в которых в файле конфигурации активирована опция «spdy» в директиве «listen».

© OpenNet