检测

openSUSE 安全更新:nginx (openSUSE-SU-2013:1015-1)

medium Nessus 插件 ID 75025

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

此更新将 nginx 升级到 1.2.9 版本,包括一个安全补丁、多个缺陷补丁和多项功能增强。(bnc#821184)

*) 安全:Security:如果 HTTP 后端返回了特别构建的响应,则工作线程进程内存的内容可被发送到客户端 (CVE-2013-2070);此缺陷已在 1.1.4 中出现。

- 1.2.8 的变更:

*) 缺陷补丁:如果使用了“ssl_session_cache shared”指令并且共享内存中没有任何可用空间,则并不总是会存储新会话。

*) 缺陷补丁:如果使用了子请求并且在处理子请求期间发生 DNS 错误,则响应可能挂起。

*) 缺陷补丁:在 ngx_http_mp4_module 中。

*) 缺陷补丁:在后端使用帐户中。

- nginx 1.2.7 的变更

*) 变更:现在如果在 Unix 系统上使用具有掩码的“include”指令,则所包括的文件按字母顺序排序。

*) 变更:“add_header”指令向 201 个响应添加标头。

*) 功能:“geo”指令现在支持 CIDR 表示法中的 IPv6 地址。

*) 功能:“access_log”指令的“flush”和“gzip”参数。

*) 功能:“auth_basic”指令中的变量支持。

*) 功能:$pipe、$request_length、$time_iso8601 和 $time_local 变量现在可以不只是在“log_format”指令中使用。

*) 功能:ngx_http_geoip_module 中的 IPv6 支持。

*) 缺陷补丁:在某些情况下不可以使用 ngx_http_perl_module 构建 nginx。

*) 缺陷补丁:如果使用了 ngx_http_xslt_module,工作线程进程中可能发生分段错误。

*) 缺陷补丁:在某些情况下不可在 MacOSX 上构建 nginx。

*) 缺陷补丁:带有高速率的“limit_rate”指令可导致 32 位平台上的截断响应。

*) 缺陷补丁:如果使用了“if”指令,工作线程进程中可能发生分段错误。

*) 缺陷补丁:“100 Continue”响应与“413 Request Entity Too Large”响应一起发出。

*) 缺陷补丁:可能未正确继承“image_filter”、“image_filter_jpeg_quality”和“image_filter_sharpen”指令。

*) 缺陷补丁:如果在 Linux 上使用了“auth_basic”指令,可能会出现“crypt_r() failed”错误。

*) 缺陷补丁:在备份服务器处理中。

*) 缺陷补丁:如果使用了“gzip”指令,代理 HEAD 请求可能返回不正确的响应。

*) 缺陷补丁:如果在单个上游区块中指定“keepalive”指令超过一次,则在启动时或在重新配置期间会发生分段错误。

*) 缺陷补丁:在“proxy_method”指令中。

*) 缺陷补丁:如果在 poll 方法中使用了解析器,工作线程进程中可能发生分段错误。

*) 缺陷补丁:如果使用了 select、poll 或 /dev/poll 方法,则 nginx 可能在与后端进行 SSL 握手期间霸占 CPU。

*) 缺陷补丁:“[crit] SSL_write() failed (SSL:)”错误。

*) 缺陷补丁:在“fastcgi_keep_conn”指令中。

解决方案

更新受影响的 nginx 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=821184

https://lists.opensuse.org/opensuse-updates/2013-06/msg00145.html

插件详情

严重性: Medium

ID: 75025

文件名: openSUSE-2013-484.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.5

CVSS v2

风险因素: Medium

基本分数: 5.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:nginx, p-cpe:/a:novell:opensuse:nginx-debuginfo, p-cpe:/a:novell:opensuse:nginx-debugsource, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2013/5/24

参考资料信息

CVE: CVE-2013-2070