Уязвимость CVE-2014-3616: Информация
Описание
nginx 0.5.6 through 1.7.4, when using the same shared ssl_session_cache or ssl_session_ticket_key for multiple servers, can reuse a cached SSL session for an unrelated context, which allows remote attackers with certain privileges to conduct "virtual host confusion" attacks.
Важность: MEDIUM (4,3)
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
---|---|---|---|---|---|---|
nginx | sisyphus | 1.6.2-alt1 | 1.24.0-alt6 | ALT-PU-2014-2153-1 | 130574 | Исправлено |
nginx | p10 | 1.6.2-alt1 | 1.24.0-alt6 | ALT-PU-2014-2153-1 | 130574 | Исправлено |
nginx | p9 | 1.6.2-alt1 | 1.24.0-alt3 | ALT-PU-2014-2153-1 | 130574 | Исправлено |
nginx | c10f1 | 1.6.2-alt1 | 1.24.0-alt5 | ALT-PU-2014-2153-1 | 130574 | Исправлено |
nginx | c9f2 | 1.6.2-alt1 | 1.24.0-alt5 | ALT-PU-2014-2153-1 | 130574 | Исправлено |
nginx | c7 | 1.10.1-alt0.M70C.1 | 1.10.1-alt0.M70C.1 | ALT-PU-2016-2009-1 | 169842 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
---|---|
DSA-3029 |
|
[nginx-announce] 20140916 nginx security advisory (CVE-2014-3616) |
|