Debianのnginxパッケージに特権昇格の可能性(CVE-2016-1247) — | サイオスOSS | サイオステクノロジー

2016.10.26

Debianのnginxパッケージに特権昇格の可能性(CVE-2016-1247)

10月26日にDebian上のnginxパッケージに脆弱性が報告されました。念の為、簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月26日にDebian上のnginxパッケージに脆弱性が報告されました。念の為、簡単にまとめてみます。

 

情報源

https://www.debian.org/security/2016/dsa-3701

情報源にもある通り、この脆弱性はDebian上のパッケージが対象となります。

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細は一次情報源のサイトをご確認ください)

  • CVE-2016-1247

    • www-dataからrootへの特権昇格の可能性

    • /var/log/nginx以下のログファイルの取り扱い(権限設定)に問題が有り、ローカルのユーザ(www-data)からrootへの特権昇格の可能性が有ります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-1247.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

また、nginxサービスの再起動が発生しますので、pacemakerなど OSSのクラスタ製品LifeKeeperな どの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます 。

 

関連コンテンツ

nginxでWAF(Web Application Firewall) を作る(第三回)

nginxでWAF(Web Application Firewall) を作る(第二回)

—–

タイトルとURLをコピーしました