Ein möglicher Buffer Overflow im Nginx-Webserver lässt sich potenziell übers Netz missbrauchen.
Der Sicherheitsexperte Greg MacManus von iSIGHT Partners Labs hat in Nginx eine Sicherheitslücke aufgedeckt, die sich für einen Remote Exploit per Buffer Overflow eignet. Durch entsprechend konstruierte HTTP-Requests können Angreifer damit eigenen Code auf dem Server ausführen. Betroffen sind die Nginx-Versionen 1.3.9 - 1.4.0. In den Nginx-Releases 1.4.1 und 1.5.0 ist das Problem behoben. Als Workaround können Administratoren auch die folgenden Zeilen in jeden Server-Abschnitt der Nginx-Konfiguration einfügen:
if ($http_transfer_encoding ~* chunked) { return 444; }
Für Debian gibt es seit einigen Tagen aktualisierte Pakete, in denen die Lücke geschlossen wurde. Auf der Security-Mailingliste Full Disclosure wurde währenddessen ein Brute-Force-Exploit für die Lücke gepostet. Andere Teilnehmer der Liste berichteten von weiteren existierenden Exploits.
Für die im Januar entdeckt Sicherheitslücke in Ruby und Rails wurden nun im Internet kursierende Exploits entdeckt.