Vysoce kritická chyba opravená v softwaru webového serveru Nginx

Vývojový tým za populárním webovým serverem s otevřeným zdrojovým kódem Nginx vydal v úterý bezpečnostní aktualizace s cílem řešit velmi kritickou zranitelnost, která by mohla být který je využíván vzdálenými útočníky k provedení libovolného kódu na citlivých serverech.

Identifikováno jako CVE-2013-2028, chyba zabezpečení je přetečení vyrovnávací paměti založená na zásobníku a byla poprvé představena v vývojové verzi Nginx 1.3.9 již v listopadu 2012. chyba je také přítomna v stabilní verzi 1.4.0, která byla vydána minulý měsíc.

Chyba, která byla firmou Secun ia, byl opraven v nové verzi Nginx 1.4.1 a vývojové verzi Nginx 1.5.0. Tato chyba zabezpečení může být zneužita škodlivými útočníky zasláním speciálně vytvořených HTTP bloků na exponovaný server Nginx.

Úspěšné zneužití může vést k libovolnému spuštění kódu a kompromisu systému, Říká Secunia ve svém poradenství.

Nginx je vyvinut s ohledem na výkon a nízké využití paměti a může být použit jako HTTP server, jako reverzní proxy server a jako balancer zátěže. To je přitažlivé pro webové stránky, které získají značné množství provozu.

Nginx je třetí nejvíce používaný webový server na internetu po Apache a Microsoft IIS s tržním podílem přes 15 procent, podle nedávného webového serveru průzkum firmou internetových služeb Netcraft.

Rostoucí popularita softwaru však přitahuje pozornost kybernetických obětí. V úterý výzkumníci z dodavatele zabezpečení ESET oznámili objev sofistikovaného backdoor programu navrženého speciálně pro servery Nginx. Existence tohoto škodlivého programu je důkazem toho, že kyberzločinci již nejsou zaměřeni pouze na nejpopulárnější software.