Wederom kwetsbaarheid ontdekt in SPDY-module van nginx-webserver

18 maart, 2014 (23:49)
Rob (Hosting in Nederland)
0 reacties

Vanavond zijn voor de tweede keer in korte tijd nieuwe versies van de populaire webserver nginx vrijgegeven, die een kwetsbaarheid in de experimentele SPDY-module verhelpen. Omdat het lek in de module zit, treft het zowel de "mainline"- als de "stable"-versie van de software — indien de module geactiveerd is.

Logo van nginx-webserver

Ontwikkelaar Nginx, Inc. schijft in een aankondiging dat de module vatbaar is voor een zogeheten "heap memory buffer overflow", die het mogelijk maakt om informatie, opgeslagen in het geheugen dat aan de software is toegekend, te corrumperen, wat in potentie de uitvoer van arbitraire code mogelijk zou maken.

Het is deze maand al het tweede lek dat in de "ngx_http_spdy_module"-module ontdekt wordt. Precies twee weken geleden werd eveneens een nieuwe versie van de "mainline"-distributie vrijgegeven om een vergelijkbaar probleem te verhelpen. Ook dit lek werd als "ernstig" geclassificeerd, maar de impact is beperkt omdat de module niet standaard geactiveerd wordt, en SPDY nog niet heel breed geadopteerd is.

SPDY is een nieuw protocol dat door Google ontwikkeld wordt om het laden van webpagina's te versnellen en veiliger te maken. Het vormt de basis voor versie 2.0 van het HTTP-protocol, waarvan de kernspecificaties momenteel door de "Hypertext Transfer Protocol Bis"-werkgroep van het Internet Engineering Task Force (IETF) ontwikkeld worden. Websites als Twitter, Facebook en Wordpress.com, evenals Hosting in Nederland, maken reeds gebruik van SPDY om webpagina's via een beveiligde verbinding sneller te laten laden.

Versies 1.5.12 (mainline) en 1.4.7 (stable) van nginx zijn per direct te downloaden op nginx.org.

Reacties (0)

Er zijn nog geen reacties geplaatst.

Reageren

Reacties worden direct gepubliceerd. We vertrouwen er dan ook op dat je reactie relevant is, geen reclame-uitingen bevat, en de algemeen geldende fatsoensregels niet overschrijdt. Je e-mailadres wordt niet gepubliceerd.

Verzenden
RSS feed
Over deze blog

Op dit weblog schrijven we regelmatig over nieuws en trends rondom (web)hosting, website-ontwikkeling en technologie.

Archief
Bijdrage leveren?

We verwelkomen bijdragen van gast-auteurs. Heb je een voorstel? Neem dan vrijblijvend contact met ons op.