int(6216)

Boletines de Vulnerabilidades


Vulnerabilidades y actualización de Nginx

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Confidencialidad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Nginx 1.1.17
Nginx 1.0.14

Descripción

Se ha descubierto una vulnerabilidad de divulgación de información en Nginx versiones 1.1.17 y 1.0.14

CVE-2012-1180 - La vulnerabilidad reside en error de validación de los parámetros de entrada.
Un atacante remoto podría causar una divulgación de información mediante un paquete HTTP response debidamente modificado.

Solución

Actualizar el producto usando las nuevas versiones proporcionadas por el fabricante:

Nginx 0.7.67-3+squeeze2
Nginx 1.1.17-1

http://nginx.org/en/download.html

Identificadores estándar

Propiedad Valor
CVE CVE-2012-1180
BID

Recursos adicionales

Nginx security advisories
http://nginx.org/en/security_advisories.html

Debian Security Advisory DSA-2434-1
http://www.debian.org/security/2012/dsa-2434

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-03-22

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT