Gravedad:Alta Vulnerabilidad: CVE-2020-5894 / CVE-2020-5895
Fecha de publicación: Mayo 11, 2020
Última revisión: Mayo 11, 2020
Portal: https://docs.nginx.com/
Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a todas las versiones de NGINX
Controller versiones 3.x.
I. Descripción
Actualización de NGINX referente a dos vulnerabilidades que afectan a NGINX
Controller.
II. Impacto
Vulnerabilidad: CVE-2020-5894
Debido a que el servidor web no invalida correctamente los tokens de sesión del lado del cliente cuando éste se desconecta, un atacante remoto no autenticado podría acceder a este token o hasta adivinarlo, obteniendo acceso no autorizado a la sesión de otro usuario.
Vulnerabilidad: CVE-2020-5895
Debido a un error en memoria al procesas mensajes en “Analytics”, “Visibility” y “Reporting daemon”, un atacante remoto podría entregarle mensajes especialmente diseñados a la aplicación, enviar el error de límites de la memoria y lograr la ejecución de código remoto, comprometiendo completamente al sistema afectado.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión 3.4.0 de NGINX Controller, mediante su sitio web (https://docs.nginx.com/nginx-controller/releases/#nginx-controller-version-3-4-0)
Fuentes:
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5894
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5895
- CSIRT Chile. 10 de mayo del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00208-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion
Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124