<div dir="ltr">I can't speak for the nginx team, but as noted by "Severity: none", I assume they agree with many other vendors that this is not actually a vulnerability in nginx itself.<br><br><div>For example, here is what the authors of Varnish said in response to this CVE:</div><div><br></div><div>> This is not a security problem in Varnish or any other piece of software which writes a logfile.</div>><br>> The real problem is the mistaken belief that you can cat(1) a random logfile to your terminal safely.<br>><br>>This is not a new issue. I first remember the issue with xterm(1)'s inadvisably implemented escape-sequences in a root-context, brought up heatedly, in 1988, possibly late 1987, at Copenhagens University Computer Science dept. (Diku.dk). Since then, nothing much have changed.<br>><br>> The wisdom of terminal-response-escapes in general have been questioned at regular intervals, but still none of the major terminal emulation programs have seen fit to discard these sequences, probably in a misguided attempt at compatibility with no longer used 1970'es technology.<br>><br>> I admit that listing "found a security hole in all HTTP-related programs that write logfiles" will look more impressive on a resume, but I think it is misguided and a sign of trophy-hunting having overtaken common sense.<br>><br>> Instead of blaming any and all programs which writes logfiles, it would be much more productive, from a security point of view, to get the terminal emulation programs to stop doing stupid things, and thus fix this and other security problems once and for all.<div><br></div><div><br></div><div>Moshe</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 13, 2022 at 11:46 AM Hritik Vijay <<a href="mailto:hritikxx8@gmail.com">hritikxx8@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello<br>
<br>
The advisories page (<a href="https://nginx.org/en/security_advisories.html" rel="noreferrer" target="_blank">https://nginx.org/en/security_advisories.html</a>) for<br>
nginx mentions the following:<br>
        An error log data are not sanitized<br>
        Severity: none<br>
        CVE-2009-4487<br>
        Not vulnerable: none<br>
        Vulnerable: all<br>
<br>
Was this vulnerability ever fixed ? If so, can we please get the<br>
advisory updated ?<br>
<br>
Hrtk<br>
_______________________________________________<br>
nginx mailing list -- <a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-leave@nginx.org" target="_blank">nginx-leave@nginx.org</a><br>
</blockquote></div>