Welcome! Log In Create A New Profile

Advanced

[nginx-ru-announce] nginx security advisory (CVE-2018-16845)

Posted by Maxim Dounin 
Maxim Dounin
[nginx-ru-announce] nginx security advisory (CVE-2018-16845)
November 06, 2018 10:30AM
Hello!

В модуле ngx_http_mp4_module была обнаружена ошибка, которая позволяет с
помощью специально созданного mp4-файла вызвать бесконечный цикл в
рабочем процессе, падение рабочего процесса, либо же могла приводить к
отправке клиенту содержимого памяти рабочего процесса (CVE-2018-16845).

Проблеме подвержен nginx, если он собран с модулем ngx_http_mp4_module
(по умолчанию не собирается) и директива mp4 используется в
конфигурационном файле. При этом атака возможна только в случае, если
атакующий имеет возможность обеспечить обработку специально созданного
mp4-файла с помощью модуля ngx_http_mp4_module.

Проблеме подвержен nginx 1.1.3+, 1.0.7+.
Проблема исправлена в 1.15.6, 1.14.1.

Патч, исправляющий проблему, доступен тут:

http://nginx.org/download/patch.2018.mp4.txt


--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru-announce mailing list
nginx-ru-announce@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru-announce
Sorry, you do not have permission to post/reply in this forum.

Online Users

Guests: 49
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 254 on July 05, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready