Högkritisk sårbarhet fixad i Nginx webbserverprogramvara

Utvecklingsgruppen bakom den populära Nginx open-source webbserverprogramvaran släppte säkerhetsuppdateringar på tisdag för att hantera en mycket kritisk sårbarhet som kunde vara utnyttjas av fjärrattacker för att utföra godtycklig kod på mottagliga servrar.

Identifierad som CVE-2013-2028 är sårbarheten en stapelbaserad buffertöverföring och introducerades först i Nginx 1.3.9-utvecklingsversionen tillbaka i november 2012. fel är också närvarande i den 1.4.0-stabila versionen som släpptes förra månaden.

Felet, som har bedömts som högkritisk av sårbarhetshanteringsföretaget Secun Ia, fixades i den nya Nginx 1.4.1-stabila versionen och Nginx 1.5.0-utvecklingsversionen. Sårbarheten kan utnyttjas av skadliga angripare genom att skicka specialtillverkade HTTP-bitar till en exponerad Nginx-server.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Framgångsrikt utnyttjande kan leda till godtycklig kodkörning och systemkompromiss, Sade Secunia i sin rådgivning.

Nginx är utvecklad med prestanda och låg minnesanvändning i åtanke och kan användas som en HTTP-server, som omvänd proxyserver och som lastbalansering. Detta gör det tilltalande för webbplatser som får mycket trafik.

Nginx är den tredje mest använda webbserversprogramvaran på Internet efter Apache och Microsoft IIS med en marknadsandel på över 15 procent, enligt en ny webbserver undersökning av Internet Services Company Netcraft.

Programvarans växande popularitet har dock också lockat uppmärksamhet hos cyberkriminella. På tisdag rapporterade forskare från säkerhetsleverantören ESET upptäckten av ett sofistikerat bakdörrsprogram som är utformat speciellt för Nginx-servrar. Förekomsten av detta skadliga program är bevis på att cyberkriminella inte längre riktar sig till den mest populära mjukvaran.