FreeBSD:nginx -- 多种漏洞 (efaa4071-b700-11e2-b1b9-f0def16c5c1b)
high Nessus 插件 ID 66341
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
nginx 项目报告:在处理特别构建的请求时,工作线程进程中可能发生基于堆栈的缓冲区溢出,从而可能导致任意代码执行。[CVE-2013-2028]
已确定与 CVE-2013-2028 相关的安全问题,如果将 proxy_pass 用于不受信任的上游 HTTP 服务器,可能影响以前的一些 nginx 版本。
此问题可能导致拒绝服务,或在来自上游代理服务器的特别构建的响应中泄露工作线程进程内存。[CVE-2013-2070]
解决方案
更新受影响的数据包。另见
http://mailman.nginx.org/pipermail/nginx-announce/2013/000114.html
http://mailman.nginx.org/pipermail/nginx-announce/2013/000112.html
插件详情
严重性: High
ID: 66341
文件名: freebsd_pkg_efaa4071b70011e2b1b9f0def16c5c1b.nasl
版本: 1.13
类型: local
发布时间: 2013/5/8
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.3
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:nginx, p-cpe:/a:freebsd:freebsd:nginx-devel, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/5/7
漏洞发布日期: 2013/5/7
可利用的方式
CANVAS (CANVAS)
Core Impact
Metasploit (Nginx HTTP Server 1.3.9-1.4.0 Chunked Encoding Stack Buffer Overflow)
参考资料信息
CVE: CVE-2013-2028, CVE-2013-2070