URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 97520
[ Назад ]

Исходное сообщение
"Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в р..."

Отправлено opennews , 06-Авг-14 08:45 
Доступны корректирующие выпуски nginx 1.6.1 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...) и 1.7.4 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...), в которых устранена уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...) (CVE-2014-3556) в реализации механизма STARTTLS, проявляющаяся только при использовании nginx в роли SMTP-прокси. Уязвимость проявляется начиная с выпуска 1.5.6 и вызвана продолжением обработки pipelined-команд после команды STARTTLS, что позволяло злоумышленнику при проведении MITM-атаки организовать подстановку своих команд в рамках установленного клиентом SSL-сеанса.


Кроме устранения уязвимости и исправления ошибок в nginx 1.7.4 добавлена поддержка сборки с библиотеками  BoringSSL (http://www.opennet.me/opennews/art.shtml?num=40049) и LibreSSL (http://www.opennet.me/opennews/art.shtml?num=40184) (форки OpenSSL от Google и OpenBSD). В новом выпуске также изменён метод экранирования символов в URI (используются шестнадцатеричные цифры в верхнем регистре).


URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00014...
Новость: http://www.opennet.me/opennews/art.shtml?num=40329


Содержание

Сообщения в этом обсуждении
"Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в р..."
Отправлено SCIF , 06-Авг-14 08:45 
> используются шестнадцатеричные цифры в верхнем регистре

Вы хоть сами поняли, что написали?


"Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в р..."
Отправлено Аноним , 06-Авг-14 08:57 
> Вы хоть сами поняли, что написали?

А что не правильного?

Запись шестнадцатеричных цифр в верхнем регистре
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F
Запись шестнадцатеричных цифр в нижнем регистре
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e, f


"Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в р..."
Отправлено Аноним , 06-Авг-14 10:39 
> Вы хоть сами поняли, что написали?

Чувак, чтению букваря обучают в другом месте.


"Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в р..."
Отправлено Аноним , 06-Авг-14 14:01 
То есть счётчик http://dayswithoutansslexploit.com/ снова сбросится скоро...

"Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в р..."
Отправлено Аноним , 06-Авг-14 18:16 
... сбросился. :)