Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
nginx
(any)
Описание
Джулиано Риццо и Тай Донг обнаружили уязвимость в протоколе TLS/SSL,
которая проявляется во время сжатия. Эта атака по сторонним канала, дублирующая
CRIME, позволяет собирать информацию для раскрытия
изначальных текстовых данных протокола. Данное обновление nginx отключает
сжатие SSL.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 0.7.67-3+squeeze3.
В тестируемом (wheezy) и нестабильном (sid) выпусках
эта проблема была исправлена в версии 1.1.16-1.
Рекомендуется обновить пакеты nginx.
которая проявляется во время сжатия. Эта атака по сторонним канала, дублирующая
CRIME, позволяет собирать информацию для раскрытия
изначальных текстовых данных протокола. Данное обновление nginx отключает
сжатие SSL.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 0.7.67-3+squeeze3.
В тестируемом (wheezy) и нестабильном (sid) выпусках
эта проблема была исправлена в версии 1.1.16-1.
Рекомендуется обновить пакеты nginx.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
nginx - 0.7.67-3+squeeze3
Debian GNU/Linux 6:
noarch:
nginx - 0.7.67-3+squeeze3
Ссылки
http://www.debian.org/security/dsa-2627/
Источник: CVE
Наименование: CVE-2012-4929
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929
Источник: CVE
Наименование: CVE-2012-4929
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929