PT-2014-11: Разглашение информации в nginx
Уязвимое ПО
nginx
Версия: 1.7.3 и более ранняя
Ссылка:
http://nginx.org/
Рейтинг опасности
Уровень опасности: Низкий
Воздействие: Разглашение информации
Вектор атаки: Локальный
CVSS v2:
Base Score: 1.9
Vector: (AV:L/AC:M/Au:N/C:P/I:N/A:N)
CVE: отсутствует
Описание программы
nginx [engine x] — это HTTP-сервер, обратный proxy-сервер, а также почтовый proxy-сервер.
Описание уязвимости
Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Разглашение информации" в nginx.
Функция нормализации URI некорректно обрабатывает переданные значения, в результате чего возможно раскрытие участков памяти через журнал веб-сервера.
Решение
Установите последнюю версию приложения
Статус уведомления
18.07.2014 - Производителю отправлены детали уязвимости
05.08.2014 - Производитель выпустил исправление
05.09.2014 - Публикация уязвимости
Благодарности
Уязвимость обнаружил Сергей Бобров (Исследовательский центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2014-11
Список отчетов о ранее обнаруженных уязвимостях Positive Research:
http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/