ASA-2018-00032 – Nginx: Loop infinito em um processo de trabalho


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00032

Identificador(es)

ASA-2018-00032, CVE-2018-16845

Título

Loop infinito em um processo de trabalho

Produto(s)

Nginx

Versão(ões) afetada(s)

nginx 1.1.3+, 1.0.7+

Versão(ões) corrigida(s)

nginx 1.15.6, 1.14.1

Prova de conceito

Desconhecido

Descrição

Um problema de segurança foi identificado em ngx_http_mp4_module no qual permite um atacante causar um loop infinito em um processo de trabalho, tornar um processo de trabalho inoperante ou pode resultar em vazamento de informação no processo de trabalho através de um mp4 criado especialmente.

O problema afeta somente nginx que é compilado com ngx_http_mp4_module (o módulo não é compilado por padrão) e a diretiva “mp4” é usada no arquivo de configuração. Além disso, o ataque é somente possível se um atacante é capaz de acionar o processamento de um arquivo mp4 especialmente criado com ngx_http_mp4_module.

Referência(s)

[nginx-announce] nginx security advisory (CVE-2018-16845)
https://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html

patch.2018.mp4.txt
https://nginx.org/download/patch.2018.mp4.txt

CVE-2018-16845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16845

CVE-2018-16845
https://nvd.nist.gov/vuln/detail/CVE-2018-16845

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 de novembro de 2018