Размещено: Вчера, 23:29
Доступны корректирующие выпуски nginx 1.6.1 и 1.7.4, в которых устранена уязвимость (CVE-2014-3556) в реализации механизма STARTTLS, проявляющаяся только при использовании nginx в роли SMTP-прокси. Уязвимость проявляется начиная с выпуска 1.5.6 и вызвана продолжением обработки pipelined-команд после команды STARTTLS, что позволяло злоумышленнику при проведении MITM-атаки организовать подстановку своих команд в рамках установленного клиентом SSL-сеанса.
Подробнее...