[Fedora] Schwachstelle in nginx – FEDORA-2009-9630 / FEDORA-2009-9652

[Fedora] Schwachstelle in nginx - FEDORA-2009-9630 / FEDORA-2009-9652

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Das Programm nginx kann als HTTP-Server, Reverse Proxy oder IMAP/POP-3
Proxy eingesetzt werden.

CVE-2009-2629 – Buffer Underflow in der Funktion
ngx_http_parse_complex_uri()

In der Funktion ngx_http_parse_complex_uri() des Programms nginx
werden Eingaben in HTTP Anfragen unzureichend gefiltert, so dass ein
Buffer Underflow ausgeloest werden kann. Ein entfernter Angreifer kann
diese Schwachstelle ausnutzen, um beliebige Befehle mit den Rechten
der Anwendung (nginx unter Fedora Linux) auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket nginx

Fedora 10
Fedora 11

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-September/msg00578.html
https://www.redhat.com/archives/fedora-package-announce/2009-September/msg00564.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT

– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-9630
2009-09-15 20:32:16
– ——————————————————————————–

Name : nginx
Product : Fedora 11
Version : 0.7.62
Release : 1.fc11
URL : http://nginx.net/
Summary : Robust, small and high performance http and reverse proxy server
Description :
Nginx [engine x] is an HTTP(S) server, HTTP(S) reverse proxy and IMAP/POP3
proxy server written by Igor Sysoev.

– ——————————————————————————–
ChangeLog:

* Mon Sep 14 2009 Jeremy Hinegardner – 0.7.62-1
– – update to 0.7.62
– – fixes CVE-2009-2629
* Sun Aug 2 2009 Jeremy Hinegardner – 0.7.61-1
– – update to new stable 0.7.61
– – remove third party module
– ——————————————————————————–
References:

[ 1 ] Bug #523105 – CVE-2009-2629 nginx: ngx_http_parse_complex_uri() buffer underflow vulnerability (VU#180065)
https://bugzilla.redhat.com/show_bug.cgi?id=523105
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update nginx’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFKsMjTk0kIxZMiiQ8RAsZ4AJ9voY//Y4IQByhkstlfsxU8yAZlzgCgipBj
4mh+/8oWCdq9vAfyKV84DMA=
=yOvT
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben