Nginx soluciona un par de fallos de seguridad en sus nuevas versiones 1.1.17 y 1.0.14 que podrían permitir a un atacante obtener información sensible.
Nginx
Nginx es un programa que puede ser utilizado como servidor http independiente y como servidor proxy. Puesto que es bastante ligero, se utiliza como proxy inverso delante de algunos servidores de producción (como Apache u otros) para reducir la carga de éstos cuando trabajan con muchas sesiones simultáneas.

  • El primer fallo es debido a un mal uso de la función ‘ngx_cpystrn‘ en los módulos ‘ngx_http_*_process_header‘.
  • El segundo de los fallos tiene su origen en ‘ngx_http_parse.c‘ al no filtrar correctamente las cabeceras cuando son nulas.

Los fallos permitirían a un atacante remoto obtener información sensible a través de una petición especialmente diseñada.

Ya están disponibles paradescargar las versiones 1.1.17 y 1.0.14 que solucionan estas incidencias.

Más información:

nginx trac:
http://trac.nginx.org/nginx/changeset/4535/nginx

nginx changes:
http://www.nginx.org/en/CHANGES

Fuente: Hispasec.com