2018-2266: nginx: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-11-08 10:47)

Neues Advisory

Version 2 (2018-11-09 10:34)

Für Debian Jessie (LTS) steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle CVE-2018-16845 bereit. Die in der Distribution eingesetzte Version von nginx ist von den Schwachstellen CVE-2018-16843 und CVE-2018-16844 nicht betroffen.

Version 3 (2018-11-09 11:43)

Für Debian Stretch (stable) steht ein Sicherheitsupdate für 'nginx' bereit, mit dem die referenzierten Schwachstellen behoben werden.

Version 4 (2018-11-21 11:17)

Für Fedora 27, 28 und 29 stehen Sicherheitsupdates für 'nginx' auf Version 1.14.1 im Status 'testing' beziehungsweise 'pending' (nur Fedora 27) bereit.

Version 5 (2018-11-27 15:31)

Red Hat stellt Sicherheitsupdates für Red Hat Software Collections für Red Hat Enterprise Linux Server 7, 7.4, 7.5 und 7.6 sowie Red Hat Enterprise Linux Workstation 7 bereit. Damit werden die Pakete 'rh-nginx112-nginx' aktualisiert.

Version 6 (2018-11-28 10:50)

Red Hat stellt weitere Sicherheitsupdates für Red Hat Software Collections für Red Hat Enterprise Linux Server 7, 7.4, 7.5 und 7.6 sowie Red Hat Enterprise Linux Workstation 7 bereit. Damit werden die Pakete 'rh-nginx114-nginx' auf Version 1.14.1 aktualisiert.

Version 7 (2019-02-13 10:43)

Für die SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und for Server Applications 15 stehen Sicherheitsupdates für nginx auf die Version 1.14.2 bereit, um die referenzierten Schwachstellen zu beheben.

Version 8 (2019-02-18 17:58)

Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates für nginx auf die Version 1.14.2 bereit, um die referenzierten Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in unterschiedlichen nginx-Modulen ermöglichen es einem entfernten, nicht authentisierten Angreifer, einen kompletten Denial-of-Service (DoS)-Zustand zu bewirken. Die Schwachstelle CVE-2018-16845 ermöglicht dem Angreifer zudem das Ausspähen von Informationen.

Die offiziellen Releases nginx 1.15.6 und 1.14.1 stehen bereit und beheben die Schwachstellen in den jeweiligen Versionszweigen.

Canonical stellt für Ubuntu 18.10, 18.04 LTS, 16.04 LTS und 14.04 LTS Sicherheitsupdates für 'nginx' bereit. Hier ist nur Ubuntu 14.04 LTS von CVE-2018-16845 betroffen.

Schwachstellen:

CVE-2018-16843 CVE-2018-16844

Schwachstellen in nginx ermöglichen Denial-of-Service-Angriffe

CVE-2018-16845

Schwachstelle in nginx ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.