偵測

openSUSE 安全性更新:nginx (openSUSE-SU-2013:1015-1)

medium Nessus Plugin ID 75025

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

此 nginx 1.2.9 的版本更新包含一個安全性修正和數個錯誤修正及功能增強。(bnc#821184)

*) 安全性:如果 HTTP 後端傳回特製的回應,則背景工作處理程序記憶體的內容可能被傳送至用戶端 (CVE-2013-2070);此錯誤在 1.1.4 中已出現。

- 1.2.8 的變更:

*) 錯誤修正:如果使用了「ssl_session_cache shared」指示詞且共用記憶體中沒有可用空間,則不一定會儲存新的工作階段。

*) 錯誤修正:如果使用了子要求且在子要求處理過程中發生 DNS 錯誤,則回應可能會懸置。

*) 錯誤修正:在 ngx_http_mp4_module 中。

*) 錯誤修正:在後端使用量計量中。

- nginx 1.2.7 的變更

*) 變更:現在,如果 Unix 系統上使用有遮罩的「include」指示詞,所包含的檔案會按字母順序排序。

*) 變更:「add_header」指示詞在 201 個回應中新增標頭。

*) 功能:「geo」指示詞現在支援 CIDR 標記法的 IPv6 位址。

*) 功能:「access_log」指示詞的「flush」和「gzip」參數。

*) 功能:「auth_basic」指示詞中的變數支援。

*) 功能:$pipe、$request_length、$time_iso8601 和 $time_local 變數現在不僅可在「log_format」指示詞中使用,也可在其他指示詞中使用。

*) 功能:ngx_http_geoip_module 中的 IPv6 支援。

*) 錯誤修正:在某些情況下,無法使用 ngx_http_perl_module 建構 nginx。

*) 錯誤修正:如果使用了 ngx_http_xslt_module,則背景工作處理程序中可能發生分割錯誤。

*) 錯誤修正:在某些情況下,MacOSX 上可能無法建構 nginx。

*) 錯誤修正:具有高速率的「limit_rate」指示詞可能造成 32 位元平台上的截斷回應。

*) 錯誤修正:如果使用了「if」指示詞,則背景工作處理程序中可能發生分割錯誤。

*) 錯誤修正:「100 Continue」回應會隨著「413 Request Entity Too Large」回應一起發出。

*) 錯誤修正:可能錯誤繼承「image_filter」、「image_filter_jpeg_quality」和「image_filter_sharpen」指示詞。

*) 錯誤修正:如果在 Linux 上使用「auth_basic」指示詞,則可能出現「crypt_r() failed」錯誤。

*) 錯誤修正:在備份伺服器處理中。

*) 錯誤修正:如果使用了「gzip」指示詞,代理的 HEAD 要求可能傳回不正確的回應。

*) 錯誤修正:如果在單一上游區塊中指定超過一次的「keepalive」指示詞,則在啟動或重新設定期間,可能發生分割錯誤。

*) 錯誤修正:在「proxy_method」指示詞中。

*) 錯誤修正:如果輪詢方法搭配使用解析器,則在背景工作處理程序中可能發生分割錯誤。

*) 錯誤修正:如果使用了選取、輪詢或 /dev/poll 方法,則在 SSL 與後端交握期間,nginx 可能霸佔 CPU。

*) 錯誤修正:「[crit] SSL_write() failed (SSL:)」錯誤。

*) 錯誤修正:在「fastcgi_keep_conn」指示詞中。

解決方案

更新受影響的 nginx 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=821184

https://lists.opensuse.org/opensuse-updates/2013-06/msg00145.html

Plugin 詳細資訊

嚴重性: Medium

ID: 75025

檔案名稱: openSUSE-2013-484.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.5

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:nginx, p-cpe:/a:novell:opensuse:nginx-debuginfo, p-cpe:/a:novell:opensuse:nginx-debugsource, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2013/5/24

參考資訊

CVE: CVE-2013-2070