GLSA 201701-22: NGINX: Privilege escalation
| Опасность: | средняя |
| Заголовок: | NGINX: Privilege escalation |
| Дата: | 11.01.2017 |
| Ошибки: | |
| ID: | 201701-22 |
Сводка
Gentoo's NGINX ebuilds are vulnerable to privilege escalation due to the way log files are handled.Назначение
nginx is a robust, small, and high performance HTTP and reverse proxy server.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-servers/nginx | < 1.10.2-r3 | >= 1.10.2-r3 | All supported architectures |
Описание
It was discovered that Gentoo’s default NGINX installation applied similar problematic permissions on “/var/log/nginx” as Debian (DSA-3701) and is therefore vulnerable to the same attack described in CVE-2016-1247.
Воздействие
A local attacker, who either is already NGINX’s system user or belongs to NGINX’s group, could potentially escalate privileges.
Обход
Ensure that no untrusted user can create files in directories which are used by NGINX (or an NGINX vhost) to store log files.
Решение
All NGINX users should upgrade to the latest ebuild revision:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-servers/nginx-1.10.2-r3"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.