DFN-CERT-2016-0877 nginx: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2016-0877 nginx: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

nginx [engine x]

Betroffene Plattformen:

Red Hat Fedora 23
Red Hat Fedora 24
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in nginx ermöglicht es einem entfernten, nicht
authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen.

Für die Distributionen Fedora 23 und 24 stehen mit den Paketen
‘nginx-1.8.1-3.fc23’ im Status ‘pending’ und ‘nginx-1.10.1-1.fc24’ im Status
‘testing’ Sicherheitsupdates auf die jeweiligen Programmversionen bereit,
die die Schwachstelle beheben. Für Fedora EPEL 7 steht ein
Backport-Sicherheitsupdate im Status ‘pending’ bereit (‘nginx-1.6.3-9.el7’).

Patch:

Fedora Security Update FEDORA-2016-c329fc4c32 (Fedora 24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c329fc4c32

Patch:

Fedora Security Update FEDORA-2016-ea323bd6cf (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea323bd6cf

Patch:

Fedora Security Update FEDORA-EPEL-2016-70e05c7285 (Fedora EPEL 7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-70e05c7285

CVE-2016-4450: Schwachstelle in nginx ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in nginx, aufgrund der ungenügenden
Überprüfung von Benutzereingaben im Programmcode zum Zwischenspeichern von
Client-Anfragen in temporären Dateien. Dadurch ist es möglich mit einer
präparierten Anfrage eine NULL-Zeiger Dereferenzierung zu verursachen,
wodurch der Worker-Prozess abstürzt und ein Denial-of-Service-Zustand
eintritt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0877/

Fedora Security Update FEDORA-2016-c329fc4c32 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c329fc4c32

Fedora Security Update FEDORA-2016-ea323bd6cf (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea323bd6cf

Fedora Security Update FEDORA-EPEL-2016-70e05c7285 (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-70e05c7285

Schwachstelle CVE-2016-4450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4450

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben