[nginx-ru-announce] security advisory

Maxim Dounin mdounin на mdounin.ru
Чт Апр 12 13:28:16 UTC 2012


Hello!

Matthew Daley обнаружил проблему в модуле ngx_http_mp4_module, 
CVE-2012-2089.

При обработке специально созданного mp4 файла модулем 
ngx_http_mp4_module могли перезаписываться области памяти рабочего 
процесса, что могло приводить к выполнению произвольного кода.

Проблеме подвержены версии nginx'а 1.1.3+, 1.0.7+, если они собраны 
с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива 
mp4 используется в конфигурационном файле.

Проблема исправлена в 1.1.19, 1.0.15.

Патч, исправляющий проблему, доступен тут:

http://nginx.org/download/patch.2012.mp4.txt

Maxim Dounin



Подробная информация о списке рассылки nginx-ru-announce