2016-0152: nginx: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe
Historie:
- Version 1 (2016-01-29 16:42)
- Neues Advisory
- Version 2 (2016-02-08 16:15)
- Für die Distribution openSUSE Leap 42.1 stehen Sicherheitsupdates auf die nginx Version 1.8.1zur Verfügung.
- Version 3 (2016-02-10 14:56)
- Für Ubuntu 15.10 und Ubuntu 14.04 LTS stehen Sicherheitsupdates zur Verfügung.
- Version 4 (2016-02-12 12:27)
- Für die Distributionen Debian Jessie (stable) und Wheezy (oldstable) stehen Sicherheitsupdates bereit.
- Version 5 (2016-05-06 12:40)
- Für SUSE Webyast 1.3, Studio Onsite 1.3 und Lifecycle Management Server 1.3 sind Sicherheitsupdates verfügbar.
- Version 6 (2016-07-14 12:13)
- Red Hat stellt für die Red Hat Software Collections auf Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates auf die nginx Upstream Version 1.8.1 bereit. Red Hat führt in seiner Sicherheitsmeldung zusätzlich die Denial-of-Service-Schwachstelle CVE-2016-4450 als behoben auf.
Betroffene Software
Entwicklung
Middleware
Server
Betroffene Plattformen
Linux
Beschreibung:
Es existieren mehrere Schwachstellen in nginx, die einem entfernten, nicht authentifizierten Angreifer das Durchführen von Denial-of-Service (DoS)-Angriffen ermöglichen.
Die Probleme bestehen in den Versionen 0.6.18 bis 1.9.9 von nginx, wenn die 'resolver'-Direktive in einer Konfigurationsdatei verwendet wird. Ein Update auf nginx in den Versionen 1.8.1 und 1.9.10 behebt diese Schwachstellen.
Fedora stellt für die Distributionen Fedora 22 und 23 mit den Paketen nginx-1.8.1-1.fc22 und nginx-1.8.1-1.fc23 Sicherheitsupdates im Status 'testing' zur Verfügung. Das Paket nginx-1.6.3-8.el7 steht als Sicherheitsupdate für Fedora EPEL 7 im Status 'pending' bereit.
Schwachstellen:
CVE-2016-0742
Schwachstelle in nginx ermöglicht Denial-of-Service-AngriffCVE-2016-0746
Schwachstelle in nginx ermöglicht Denial-of-Service-AngriffCVE-2016-0747
Schwachstelle in nginx ermöglicht Denial-of-Service-AngriffCVE-2016-4450
Schwachstelle in nginx ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.