Kriittinen haavoittuvuus vahvistettu Nginx-Web-palvelinohjelmistossa

Suositun Nginx-avoimen lähdekoodin Web-palvelinohjelmiston takana kehitystyöryhmä julkaisi tiistaina tietoturvapäivitykset, joissa käsitellään erittäin kriittistä haavoittuvuutta, joka voisi olla jotka käyttävät etähyökkääjiä mielivaltaisen koodin suorittamiseen alttiilla palvelimilla.

CVE-2013-2028-tunnuksena haavoittuvuus on pinoon perustuva puskurin ylivuoto ja se otettiin käyttöön Nginx 1.3.9 -kehitysversiossa marraskuussa 2012. virhe esiintyy myös viime kuussa julkaistussa 1.4.0 vakassa versiossa.

Vika, joka on luokiteltu erittäin kriittiseksi Secunin haavoittuvuuden hallintayritykselle ia, vahvistettiin uudessa Nginx 1.4.1 vakaa versiossa ja Nginx 1.5.0 -kehitysversiossa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Onnistunut hyödyntäminen voi johtaa mielivaltaiseen koodin suorittamiseen ja järjestelmän kompromisseihin., Secunia sanoi neuvonnassaan.

Nginx on kehitetty suorituskyvyn ja muistin vähäisyyden vuoksi, ja sitä voidaan käyttää HTTP-palvelimena, käänteisenä välityspalvelimeksi ja kuormitustasapainona. Tämä tekee siitä houkuttelevan verkkosivustoille, jotka saavat huomattavan määrän liikennettä.

Nginx on kolmanneksi yleisin Internet-palvelinohjelmisto Internetissä Apacen ja Microsoft IIS: n jälkeen, joiden markkinaosuus on yli 15 prosenttia viimeisen Web-palvelimen verkkopalvelun Netcraftin kyselytutkimus.

Ohjelmiston kasvava suosio on kuitenkin herättänyt myös verkkorikollisten huomion. Tiistaina ESETin tietoturvatoimittajan tutkijat kertoivat etsimästä kehittynyttä taustaohjelmia, jotka on suunniteltu nimenomaan Nginx-palvelimille. Tämän haittaohjelman olemassaolo on osoitus siitä, että tietoverkkorikolliset eivät enää kohdistu vain suosituimpiin ohjelmistoihin.