Avis du CERT-FR

Objet: Vulnérabilité dans nginx

Gestion du document

Référence	CERTA-2012-AVI-213
Titre	Vulnérabilité dans nginx
Date de la première version	13 avril 2012
Date de la dernière version	13 avril 2012
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Serveur HTTP nginx

1.1.3 à 1.1.18 ;
1.0.7 à 1.0.14.

Résumé

Le serveur nginx pour lequel le module ngx_http_mp4_module est activé et la directive MP4 positionnée présente une vulnérabilité permettant à un attaquant d'exécuter du code arbitraire au moyen d'un fichier MP4 spécialement construit.

Solution

Les versions 1.1.19 et 1.0.15 de nginx corrigent cette vulnérabilité.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité nginx du 12 avril 2012 :
```
http://nginx.org/en/security_advisories.html
```

Référence CVE CVE-2012-2089 :

https://www.cve.org/CVERecord?id=CVE-2012-2089

Gestion détaillée du document

le 13 avril 2012: version initiale.