nginx puffer túlcsordulásos sérülékenység


2013. május 8. 07:06

CH azonosító

CH-9143

Angol cím

nginx "ngx_http_parse_chunked()" Buffer Overflow Vulnerability

Felfedezés dátuma

2013.05.06.

Súlyosság

Magas

Érintett rendszerek

N/A
nginx

Érintett verziók

nginx 1.4.x

Összefoglaló

Az nginx olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet az “ngx_http_parse_chunked()” függvényben (http/ngx_http_parse.c) található hiba okozza, amely egy HTTP chunk feldolgozása során keletkezik, és ami kihasználható verem alapú puffer túlcsordulás előidézésére.

Az 1.3.9 és 1.4.0 közötti verziókban jelentett sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: nginx.org
Egyéb referencia: www.openwall.com
CVE-2013-2028 - NVD CVE-2013-2028
SECUNIA 53248

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »