Wederom kwetsbaarheid ontdekt in SPDY-module van nginx-webserver

Vanavond zijn voor de tweede keer in korte tijd nieuwe versies van de populaire webserver nginx vrijgegeven, die een kwetsbaarheid in de experimentele SPDY-module verhelpen. Omdat het lek in de module zit, treft het zowel de "mainline"- als de "stable"-versie van de software — indien de module geactiveerd is.

Ontwikkelaar Nginx, Inc. schijft in een aankondiging dat de module vatbaar is voor een zogeheten "heap memory buffer overflow", die het mogelijk maakt om informatie, opgeslagen in het geheugen dat aan de software is toegekend, te corrumperen, wat in potentie de uitvoer van arbitraire code mogelijk zou maken.

Het is deze maand al het tweede lek dat in de "ngx_http_spdy_module"-module ontdekt wordt. Precies twee weken geleden werd eveneens een nieuwe versie van de "mainline"-distributie vrijgegeven om een vergelijkbaar probleem te verhelpen. Ook dit lek werd als "ernstig" geclassificeerd, maar de impact is beperkt omdat de module niet standaard geactiveerd wordt, en SPDY nog niet heel breed geadopteerd is.

SPDY is een nieuw protocol dat door Google ontwikkeld wordt om het laden van webpagina's te versnellen en veiliger te maken. Het vormt de basis voor versie 2.0 van het HTTP-protocol, waarvan de kernspecificaties momenteel door de "Hypertext Transfer Protocol Bis"-werkgroep van het Internet Engineering Task Force (IETF) ontwikkeld worden. Websites als Twitter, Facebook en Wordpress.com, evenals Hosting in Nederland, maken reeds gebruik van SPDY om webpagina's via een beveiligde verbinding sneller te laten laden.

Versies 1.5.12 (mainline) en 1.4.7 (stable) van nginx zijn per direct te downloaden op nginx.org.

Reacties

Er zijn nog geen reacties geplaatst.