Vulnérabilité dans nginx
le 21 mars 2014
Une vulnérabilité a été corrigée dans nginx. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Pour les utilisateur de Nginx ayant compilé le support du protocole SPDY, il est recommandé d'appliquer le patch proposé par l'équipe de développement et de recompiler nginx.
Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
- atteinte à la confidentialité des données
Systèmes affectés
- Nginx versions antérieures à 1.4.7
- Nginx versions antérieures à 1.5.12
Documentation
- Bulletin de sécurité nginx du 18 mars 2014 : nginx.org/en/security_advisories.html
- Référence CVE CVE-2014-0133 : cve.mitre.org/cgi-bin/cvename.cgi
- Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-136
