nginx puffer túlcsordulásos sérülékenység


2013. május 8. 07:06

CH azonosító

CH-9143

Angol cím

nginx "ngx_http_parse_chunked()" Buffer Overflow Vulnerability

Felfedezés dátuma

2013.05.06.

Súlyosság

Magas

Érintett rendszerek

N/A
nginx

Érintett verziók

nginx 1.4.x

Összefoglaló

Az nginx olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet az “ngx_http_parse_chunked()” függvényben (http/ngx_http_parse.c) található hiba okozza, amely egy HTTP chunk feldolgozása során keletkezik, és ami kihasználható verem alapú puffer túlcsordulás előidézésére.

Az 1.3.9 és 1.4.0 közötti verziókban jelentett sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: nginx.org
Egyéb referencia: www.openwall.com
CVE-2013-2028 - NVD CVE-2013-2028
SECUNIA 53248

Legfrissebb sérülékenységek
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
CVE-2023-49093 – HtmlUnit sérülékenysége
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
CVE-2023-37928 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4474 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4473 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-37927 – Zyxel NAS326 firmware sérülékenysége
Tovább a sérülékenységekhez »