Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в реализации STARTTLS

05.08.2014 23:29

Доступны корректирующие выпуски nginx 1.6.1 и 1.7.4, в которых устранена уязвимость (CVE-2014-3556) в реализации механизма STARTTLS, проявляющаяся только при использовании nginx в роли SMTP-прокси. Уязвимость проявляется начиная с выпуска 1.5.6 и вызвана продолжением обработки pipelined-команд после команды STARTTLS, что позволяло злоумышленнику при проведении MITM-атаки организовать подстановку своих команд в рамках установленного клиентом SSL-сеанса.

Кроме устранения уязвимости и исправления ошибок в nginx 1.7.4 добавлена поддержка сборки с библиотеками BoringSSL и LibreSSL (форки OpenSSL от Google и OpenBSD). В новом выпуске также изменён метод экранирования символов в URI (используются шестнадцатеричные цифры в верхнем регистре).

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40329-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (5)

RSS

1, SCIF (ok), 08:45, 06/08/2014 [ответить]	–3 +/–
> используются шестнадцатеричные цифры в верхнем регистре Вы хоть сами поняли, что написали?

2, Аноним (-), 08:57, 06/08/2014 [^] [^^] [^^^] [ответить]

+6 +/–

> Вы хоть сами поняли, что написали?

А что не правильного?

Запись шестнадцатеричных цифр в верхнем регистре
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F
Запись шестнадцатеричных цифр в нижнем регистре
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e, f

3, Аноним (-), 10:39, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> Вы хоть сами поняли, что написали? Чувак, чтению букваря обучают в другом месте.

4, Аноним (-), 14:01, 06/08/2014 [ответить]	+/–
То есть счётчик http://dayswithoutansslexploit.com/ снова сбросится скоро...

5, Аноним (-), 18:16, 06/08/2014 [^] [^^] [^^^] [ответить]	+/–
... сбросился. :)

Добавить комментарий

Текст: