Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Serveur HTTP nginx
- 1.1.3 à 1.1.18 ;
- 1.0.7 à 1.0.14.
Résumé
Le serveur nginx pour lequel le module ngx_http_mp4_module est activé et la directive MP4 positionnée présente une vulnérabilité permettant à un attaquant d'exécuter du code arbitraire au moyen d'un fichier MP4 spécialement construit.
Solution
Les versions 1.1.19 et 1.0.15 de nginx corrigent cette vulnérabilité.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité nginx du 12 avril 2012 : http://nginx.org/en/security_advisories.html
- Référence CVE CVE-2012-2089 https://www.cve.org/CVERecord?id=CVE-2012-2089
