Vulnerabilidad crítica en nJS de Nginx (Parchea!)

Se ha descubierto un desbordamiento en un array del módulo nJS de Nginx (que gestiona aproximadamente el 30% de las webs en el mundo). El fallo ha sido reportado a través de ZeroDayInitiative con el código ZDI-CAN-8296, y afecta al módulo de nJS, un subconjunto de JavaScript que añade funcionalidad al servidor. Ha sido corregido en la versión 0.3.2 de nJS. Su CVSS es de 8.1. Existe además otro desbordamiento de enteros que será corregido en la 0.3.3.

Alisa Esage (a través de ZDI) ha informado de forma privada al menos una falla de ejecución remota de código (RCE) en Nginx nJS que definitivamente necesita un parche inmediato cuando esté disponible. Si bien Nginx afirma que los dos errores no se pueden explotar fácilmente, Esage no está tan segura.

Uno de los errores, un desbordamiento de matriz, se solucionó en Nginxs nJS versión 0.3.2, y el desbordamiento de enteros se parcheará en la próxima versión de nJS 0.3.3.
Se recomienda aplicar ambos parches tan pronto como sea posible, si utiliza una combinación de Nginx y nJS.

Fuente: Alisa Esage

Suscríbete a nuestro Boletín