NGINX is an advanced Internet infrastructure software.

Nginxのメーリングリストに投稿されたメール「nginx security advisory (CVE-2014-0133)」が、実験的に導入されていたSPDYの実装にバグがありセキュリティ脆弱性になっていると伝えた。攻撃者はこのバグを利用することで任意のコードを実行できる可能性がある。

問題になっているバグはヒープメモリのバッファオーバーフロー。ワーカープロセスで発生する可能性がある。攻撃者は細工したリクエストを送信することでワーカープロセスにおいてヒープメモリのバッファオーバーフローを発生させ、結果として任意のコードを実行できるとされている。

このセキュリティ脆弱性の影響を抱えたバージョンはNginxの1.3.15から1.5.11まで。デフォルトではこのセキュリティ脆弱性が利用されることはない。ngx_http_spdy_moduleモジュールとともにコンパイルされており、--with-debugの指定がされていないビルドの場合にこのセキュリティ脆弱性を抱えていることになる。

本セキュリティ脆弱性はすでにNginx 1.5.12およびNginx 1.4.7で修正されている。該当するバージョンで該当する使い方をしている場合にはアップグレードが推奨される。