Hello! Была обнаружена ошибка в экспериментальной реализации SPDY в nginx 1.5.10, из-за которой с помощью специально созданного запроса в некоторых случаях было возможно повредить память рабочего процесса, что потенциально могло приводить к выполнению произвольного кода (CVE-2014-0088).
Проблеме подвержен nginx 1.5.10 на 32-битных платформах, если он собран с модулем ngx_http_spdy_module (по умолчанию не собирается) и в конфигурационном файле используется параметр spdy директивы listen. Проблема исправлена в nginx 1.5.11. Патч, исправляющий проблему, доступен тут: http://nginx.org/download/patch.2014.spdy.txt Спасибо Lucas Molas из Programa STIC, Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina. -- Maxim Dounin http://nginx.org/en/donation.html _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
