Maxim Dounin
2014-Sep-16 14:47 UTC
[nginx-ru-announce] nginx security advisory (CVE-2014-3616)
Hello!
Antoine Delignat-Lavaud ÏÂÎÁÒÕÖÉÌ ÐÒÏÂÌÅÍÕ × ËÜÛÉÒÏ×ÁÎÉÉ SSL-ÓÅÓÓÉÊ ×
nginx. âÙÌÏ ×ÏÚÍÏÖÎÏ ÐÏ×ÔÏÒÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ SSL-ÓÅÓÓÉÀ × ËÏÎÔÅËÓÔÅ
ÄÒÕÇÏÇÏ ÂÌÏËÁ server{}, ÞÔÏ ÐÏÚ×ÏÌÑÌÏ ÁÔÁËÕÀÝÅÍÕ, ËÏÎÔÒÏÌÉÒÕÀÝÅÍÕ ËÁÎÁÌ
ÍÅÖÄÕ ËÌÉÅÎÔÏÍ É nginx'ÏÍ, ×ÙÚÙ×ÁÔØ ÏÂÒÁÂÏÔËÕ ÚÁÐÒÏÓÏ× × ÎÅÐÒÁ×ÉÌØÎÏÍ
ÂÌÏËÅ server{} (CVE-2014-3616).
ðÒÏÂÌÅÍÅ ÐÏÄ×ÅÒÖÅÎ nginx 0.5.6 - 1.7.4, ÅÓÌÉ × ÎÅÓËÏÌØËÉÈ ÂÌÏËÁÈ
server{} ÉÓÐÏÌØÚÕÅÔÓÑ ÏÄÉÎ É ÔÏÔ ÖÅ ÒÁÚÄÅÌÑÅÍÙÊ ssl_session_cache É/ÉÌÉ
ssl_session_ticket_key.
ðÒÏÂÌÅÍÁ ÉÓÐÒÁ×ÌÅÎÁ × nginx 1.7.5, 1.6.2.
âÏÌÅÅ ÐÏÄÒÏÂÎÕÀ ÉÎÆÏÒÍÁÃÉÀ ÍÏÖÎÏ ÎÁÊÔÉ × ÓÔÁÔØÅ Antoine Delignat-Lavaud
et al., ÄÏÓÔÕÐÎÏÊ ÐÏ ÁÄÒÅÓÕ http://bh.ht.vc/vhost_confusion.pdf.
--
Maxim Dounin
http://nginx.org/en/donation.html