Обход ASLR, удалённое выполнение кода и 30 дней тишины. Что известно о новой уязвимости в nginx и почему детали пока засекречены
NewsMakerNginx обновили и сразу подкинули системным администраторам новую проблему.
В nginx заявили о новой уязвимости, которая позволяет удаленно выполнить код в свежем выпуске 1.31.0. По данным NebuSec, их защитный агент Vega обнаружил проблему вскоре после того, как разработчики закрыли другую уязвимость, известную как nginx-rift .
Новая проблема получила название nginx-poolslip. В компании называют ее уязвимостью нулевого дня и утверждают, что она затрагивает последнюю версию nginx на момент выхода сообщения.
Подробный технический разбор NebuSec обещает раскрыть через 30 дней после выхода исправления. В разбор войдет способ обхода ASLR , который усложняет атаки через уязвимости. Пока компания не раскрывает детали, чтобы не дать злоумышленникам готовую инструкцию до того, как администраторы установят исправления.
В nginx заявили о новой уязвимости, которая позволяет удаленно выполнить код в свежем выпуске 1.31.0. По данным NebuSec, их защитный агент Vega обнаружил проблему вскоре после того, как разработчики закрыли другую уязвимость, известную как nginx-rift .
Новая проблема получила название nginx-poolslip. В компании называют ее уязвимостью нулевого дня и утверждают, что она затрагивает последнюю версию nginx на момент выхода сообщения.
Подробный технический разбор NebuSec обещает раскрыть через 30 дней после выхода исправления. В разбор войдет способ обхода ASLR , который усложняет атаки через уязвимости. Пока компания не раскрывает детали, чтобы не дать злоумышленникам готовую инструкцию до того, как администраторы установят исправления.