現在位置: ホーム / OSSブログ / CVE-2016-4450 に対応した nginx 1.11.1 リリース

CVE-2016-4450 に対応した nginx 1.11.1 リリース

2016年5月31日に公開された nginx の脆弱性(CVE-2016-4450 )の情報と、修正バージョンである nginx 1.11.1、1.10.1の情報を掲載しております。

2016年5月31日に nginx.org より、nginx security advisory が公開されました。

今回の脆弱性は、nginx 1.3.9 以降のバージョンが対象となり、一時ファイルにクライアントのリクエストボディの書き込みを行う際、特別に細工された要求により、NULLポインタ参照ワーカープロセスがクラッシュする可能性があります。(CVE-2016-4450)

影響のあるバージョン

Nginx 1.3.9 - Nginx 1.11.0.

修正バージョン

Nginx 1.11.1(Mainline version)、Nginx 1.10.1(Stable version)

  • セキュリティ:一時ファイルに特別に細工されたリクエストボディの書き込みした場合、 ワーカープロセスでセグメンテーションフォールトが発生する可能性があります。(CVE-2016-4450)

 

リリース原文は以下のとおり

Changes with nginx 1.11.1                                        31 May 2016

    *) Security: a segmentation fault might occur in a worker process while
       writing a specially crafted request body to a temporary file
       (CVE-2016-4450); the bug had appeared in 1.3.9.
Changes with nginx 1.10.1                                        31 May 2016

    *) Security: a segmentation fault might occur in a worker process while
       writing a specially crafted request body to a temporary file
       (CVE-2016-4450); the bug had appeared in 1.3.9.
サイオスOSSよろず相談室

サイオスOSSよろず相談室(1)

問い合わせボタン