Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket nginx in Debian GNU/Linux 6.0 (squeeze) vor Version 0.7.67-3+squeeze2
Paket nginx in Debian GNU/Linux unstable (sid) vor Version 1.1.17-1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Aufgrund einer Schwachstelle in Nginx kann ein entfernter Angreifer Zugriff
auf vertrauliche Information erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-1180: Schwachstelle in Nginx

Nginx 1.0.x vor Version 1.0.14 und Nginx 1.1.x vor Version 1.1.17 enthält
eine Schwachstelle bei der Verarbeitung von “HTTP Responses” von
Upstream-Servern. Diese führt dazu, dass Inhalte aus bereits freigegebenem
Speicher an einen Client gesendet werden können, wodurch ein entfernter
Angreifer Zugriff auf sensible Daten erlangen kann. Dazu muss es ihm möglich
sein, präparierte “HTTP Responses” vom Upstream-Server an Nginx zu senden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0510/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2434

Schwachstelle CVE-2012-1180:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1180

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.