ASA-2018-00032 – nginx: Loop infinito em um processo de trabalho

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00032

Identificador(es)

ASA-2018-00032, CVE-2018-16845

Título

Loop infinito em um processo de trabalho

Fabricante(s)

NGINX, Inc

Produto(s)

nginx

Versão(ões) afetada(s)

nginx 1.1.3+, 1.0.7+

Versão(ões) corrigida(s)

nginx 1.15.6, 1.14.1

Prova de conceito

Desconhecido

Descrição

Um problema de segurança foi identificado em ngx_http_mp4_module no qual permite um atacante causar um loop infinito em um processo de trabalho, tornar um processo de trabalho inoperante ou pode resultar em vazamento de informação no processo de trabalho através de um mp4 criado especialmente.

O problema afeta somente nginx que é compilado com ngx_http_mp4_module (o módulo não é compilado por padrão) e a diretiva “mp4” é usada no arquivo de configuração. Além disso, o ataque é somente possível se um atacante é capaz de acionar o processamento de um arquivo mp4 especialmente criado com ngx_http_mp4_module.

Referência(s)

[nginx-announce] nginx security advisory (CVE-2018-16845)
https://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html

patch.2018.mp4.txt
https://nginx.org/download/patch.2018.mp4.txt

nginx security advisories
https://nginx.org/en/security_advisories.html

CVE-2018-16845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16845

CVE-2018-16845
https://nvd.nist.gov/vuln/detail/CVE-2018-16845

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 31 janeiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.