検出

openSUSE セキュリティ更新:nginx(openSUSE-SU-2013:1015-1)

medium Nessus プラグイン ID 75025

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

nginx を 1.2.9 に対するこのバージョン更新には、セキュリティ修正およびいくつかのバグ修正や機能強化が含まれています。(bnc#821184)

*) セキュリティ:HTTP バックエンドが特別に細工された応答を返した場合、ワーカープロセスメモリのコンテンツがクライアントに送信される場合があります(CVE-2013-2070)、このバグは 1.1.4 で発生していました。

- 1.2.8 に関する変更点:

*) バグ修正:「ssl_session_cache shared」ディレクティブが使用され、共有メモリに空き領域がない場合、新しいセッションが保存されないことがありました。

*) バグ修正:サブリクエストが使用され、サブリクエストの処理中に DNS エラーが発生した場合、応答がハングアップする場合があります。

*) バグ修正:ngx_http_mp4_module における修正。

*) バグ修正:バックエンド使用アカウンティングにおける修正。

- nginx 1.2.7 に関する変更

*) 変更:Unix システムでマスク付きの「include」ディレクティブを使用する場合、含まれるファイルはアルファベット順で保存されます。

*) 変更:「add_header」ディレクティブは 201 件の応答にヘッダーを追加します。

*) 機能:「geo」ディレクティブが、CIDR 表記の IPv6 アドレスをサポートするようになりました。

*) 機能:「access_log」ディレクティブの「flush」および「gzip」のパラメーター。

*) 機能:「auth_basic」ディレクティブでの変数サポート。

*) 機能:$pipe、$request_length、$time_iso8601、および $time_local の変数が、「log_format」ディレクティブ以外でも使用できるようになりました。

*) 機能:ngx_http_geoip_module での IPv6 サポート。

*) バグ修正:場合によっては、ngx_http_perl_module で nginx を構築できない可能性があります。

*) バグ修正:ngx_http_xslt_module を使用する場合、ワーカープロセスでセグメンテーション違反が発生する可能性があります。

*) バグ修正:場合によっては、MacOSX で nginx を構築できない可能性があります。

*) バグ修正:32 ビットプラットフォームで、「limit_rate」ディレクティブのレートを高くすると、応答が切り捨てられる可能性があります。

*) バグ修正:「if」ディレクティブが使用した場合、ワーカープロセスでセグメンテーション違反が発生する可能性があります。

*) バグ修正:「413 Request Entity Too Large」応答と共に、「100 Continue」応答が発行されました。

*) バグ修正:「image_filter」、「image_filter_jpeg_quality」、および「image_filter_sharpen」のディレクティブが不適切に継承される可能性があります。

*) バグ修正:Linux で「auth_basic」ディレクティブを使用した場合、「crypt_r() failed」エラーが発生する可能性があります。

*) バグ修正:バックアップサーバーの処理における修正。

*) バグ修正:「gzip」ディレクティブを使用した場合、プロキシされた HEAD リクエストが不適切な応答を返す可能性があります。

*) バグ修正:1 つの upstream ブロックで「keepalive」ディレクティブを複数回指定した場合、起動時または再構成中にセグメンテーション違反が発生しました。

*) バグ修正:「proxy_method」ディレクティブにおける修正。

*) バグ修正:poll メソッドと共にリゾルバーを使用した場合、ワーカープロセスでセグメンテーション違反が発生する可能性があります。

*) バグ修正:select、poll、または /dev/poll のメソッドを使用した場合、nginx がバックエンドで SSL のハンドシェイク中に CPU を占有する可能性があります。

*) バグ修正:「[crit] SSL_write() failed (SSL:)」エラー。

*) バグ修正:「fastcgi_keep_conn」ディレクティブにおける修正。

ソリューション

影響を受ける nginx パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=821184

https://lists.opensuse.org/opensuse-updates/2013-06/msg00145.html

プラグインの詳細

深刻度: Medium

ID: 75025

ファイル名: openSUSE-2013-484.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.5

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:nginx, p-cpe:/a:novell:opensuse:nginx-debuginfo, p-cpe:/a:novell:opensuse:nginx-debugsource, cpe:/o:novell:opensuse:12.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2013/5/24

参照情報

CVE: CVE-2013-2070