Kerentanan yang sangat kritikal yang ditetapkan dalam perisian pelayan Web Nginx

Tim pembangunan di belakang popular perisian Nginx terbuka sumber web server mengeluarkan update keselamatan pada hari Selasa untuk mengatasi kerentanan yang sangat kritis yang mungkin dieksploitasi oleh penyerang jauh untuk melaksanakan kod sewenang-wenang pada server yang rentan.

Dikenal sebagai CVE-2013-2028, kerentanan adalah overflow buffer berasaskan stack dan pertama kali diperkenalkan di versi pembangunan Nginx 1.3.9 kembali pada bulan November 2012. kecacatan juga hadir dalam versi stabil 1.4.0 yang dikeluarkan bulan lepas.

Bug yang telah dinilai sebagai sangat kritikal oleh firma pengurusan kelemahan Secun ia telah ditetapkan dalam versi stabil Nginx 1.4.1 baru dan versi pembangunan Nginx 1.5.0. Kerentanan boleh dieksploitasi oleh penyerang berniat jahat dengan menghantar sekeping HTTP yang dibuat khusus ke pelayan Nginx yang terdedah.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Eksploitasi yang berjaya dapat menyebabkan pelaksanaan kode sewenang-wenang dan kompromi sistem, Secunia berkata dalam nasihatnya.

Nginx dibangunkan dengan prestasi dan penggunaan memori yang rendah dalam fikiran dan boleh digunakan sebagai pelayan HTTP, sebagai pelayan proksi terbalik dan sebagai pengimbang beban.

Nginx adalah perisian pelayan Web yang paling banyak digunakan ketiga di Internet selepas Apache dan Microsoft IIS dengan pangsa pasar lebih dari 15 peratus, menurut pelayan web baru-baru ini kaji selidik oleh firma perkhidmatan Internet Netcraft.

Kemunculan populariti perisian ini, bagaimanapun, juga menarik perhatian penjenayah siber. Pada hari Selasa, penyelidik dari penjual keselamatan ESET melaporkan penemuan program backdoor canggih yang direka khusus untuk pelayan Nginx. Kewujudan program jahat ini adalah bukti bahawa penjenayah siber tidak hanya menargetkan perisian yang paling popular.