Уязвимость CVE-2014-3616: Информация

Описание

nginx 0.5.6 through 1.7.4, when using the same shared ssl_session_cache or ssl_session_ticket_key for multiple servers, can reuse a cached SSL session for an unrelated context, which allows remote attackers with certain privileges to conduct "virtual host confusion" attacks.

Важность: MEDIUM (4,3)

URL: https://nvd.nist.gov/vuln/detail/CVE-2014-3616

Опубликовано: 8 декабря 2014 г.

Изменено: 10 ноября 2021 г.

Идентификатор типа ошибки: CWE-613

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
nginx	sisyphus	1.6.2-alt1	1.24.0-alt6	ALT-PU-2014-2153-1	130574	Исправлено
nginx	p10	1.6.2-alt1	1.24.0-alt6	ALT-PU-2014-2153-1	130574	Исправлено
nginx	p9	1.6.2-alt1	1.24.0-alt3	ALT-PU-2014-2153-1	130574	Исправлено
nginx	c10f1	1.6.2-alt1	1.24.0-alt5	ALT-PU-2014-2153-1	130574	Исправлено
nginx	c9f2	1.6.2-alt1	1.24.0-alt5	ALT-PU-2014-2153-1	130574	Исправлено
nginx	c7	1.10.1-alt0.M70C.1	1.10.1-alt0.M70C.1	ALT-PU-2016-2009-1	169842	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
DSA-3029	Third Party Advisory
[nginx-announce] 20140916 nginx security advisory (CVE-2014-3616)	Vendor Advisory

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:f5:nginx:*:*:*:*:*:*:*:*
  Start including
  1.7.0
  End excliding
  1.7.5
  cpe:2.3:a:f5:nginx:*:*:*:*:*:*:*:*
  Start including
  0.5.6
  End excliding
  1.6.2
  
  Конфигурация 2
  cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
  cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*

Версия: v24.5.1

Наверх

Уязвимость CVE-2014-3616: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1

Конфигурация 2