For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00032
Identificador(es)
ASA-2018-00032, CVE-2018-16845
Título
Loop infinito em um processo de trabalho
Fabricante(s)
NGINX, Inc
Produto(s)
nginx
Versão(ões) afetada(s)
nginx 1.1.3+, 1.0.7+
Versão(ões) corrigida(s)
nginx 1.15.6, 1.14.1
Prova de conceito
Desconhecido
Descrição
Um problema de segurança foi identificado em ngx_http_mp4_module no qual permite um atacante causar um loop infinito em um processo de trabalho, tornar um processo de trabalho inoperante ou pode resultar em vazamento de informação no processo de trabalho através de um mp4 criado especialmente.
O problema afeta somente nginx que é compilado com ngx_http_mp4_module (o módulo não é compilado por padrão) e a diretiva “mp4” é usada no arquivo de configuração. Além disso, o ataque é somente possível se um atacante é capaz de acionar o processamento de um arquivo mp4 especialmente criado com ngx_http_mp4_module.
Referência(s)
[nginx-announce] nginx security advisory (CVE-2018-16845)
https://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html
patch.2018.mp4.txt
https://nginx.org/download/patch.2018.mp4.txt
nginx security advisories
https://nginx.org/en/security_advisories.html
CVE-2018-16845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16845
CVE-2018-16845
https://nvd.nist.gov/vuln/detail/CVE-2018-16845
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 31 janeiro 2019