2017-1216: nginx: Eine Schwachstelle ermöglicht das Ausspähen von Informationen oder einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-07-13 16:50)

Neues Advisory

Version 2 (2017-07-14 12:14)

Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 16.10 und 17.04 Sicherheitsupdates für nginx zur Verfügung.

Version 3 (2017-07-31 11:46)

Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für nginx zur Behebung der Schwachstelle bereit.

Version 4 (2017-08-16 12:03)

Für Fedora 25 und 26 steht nginx 1.12.1 als Sicherheitsupdate im Status 'testing' zur Behebung der Schwachstelle bereit. Mit dieser Version wird auch das Modul 'http_auth_request' eingeführt.

Version 5 (2017-08-29 11:49)

Red Hat veröffentlicht für die Red Hat Software Collections 1 für Red Hat Enterprise Linux (RHEL) 6, 6.7, 7 und 7.3 Sicherheitsupdates für 'rh-nginx110-nginx', um die Schwachstelle zu adressieren. Die Red Hat Software Collections 1 für Server wird auf allen genannten Plattformen aktualisiert, die Sicherheitsupdates für Workstations stehen für RHEL 6 und 7 bereit.

Version 6 (2017-09-08 11:52)

Für SUSE Webyast, Studio Onsite und Lifecycle Management Server in der Version 1.3 stehen Sicherheitsupdates für 'nginx-1.0' zur Behebung der Schwachstelle bereit.

Version 7 (2017-10-19 11:47)

Für Fedora EPEL 7 steht ein Sicherheitsupdate für nginx auf Version 1.12.2 im Status 'testing' bereit, mit dem die Schwachstelle behoben wird.

Version 8 (2018-03-26 18:32)

Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate auf die nginx Version 1.13.9 zur Verfügung mittels dem die Schwachstelle und zwei weitere, nicht sicherheitsrelevante Fehler behoben werden.

Version 9 (2018-03-27 15:53)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für das Paket 'nginx' zur Behebung der Schwachstelle bereit. Die Software wird damit auf die aktuelle Version 1.13.9 aktualisiert.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in nginx ermöglicht einem entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell präparierten Anfrage Informationen aus den Kopfdaten zwischengespeicherter Dateien auszuspähen, wenn nginx mit Standard-Modulen verwendet wird, oder Informationen aus dem Speicher von 'Worker'-Prozessen auszuspähen oder einen Denial-of-Service (DoS)-Angriff durchzuführen, wenn Drittanbieter-Module verwendet werden. Verwundbare Drittanbieter-Module sind derzeit nicht bekannt.

Debian stellt für die vormals stabile Distributionen Jessie sowie die stabile Distribution Stretch Backport-Sicherheitsupdates bereit.

Schwachstellen:

CVE-2017-7529

Schwachstelle in nginx ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.