Lubhang kritikal na kahinaan na naayos sa Nginx Web server software

Ang koponan sa pag-unlad sa likod ng sikat na Nginx open-source Web server software inilabas seguridad update sa Martes upang matugunan ang isang mataas na kritikal na kahinaan na maaaring na pinagsamantalahan ng mga remote attackers upang maisagawa ang arbitrary code sa mga madaling kapitan ng server.

Nakilala bilang CVE-2013-2028, ang kahinaan ay isang overflow na nakabatay sa stack na nakabatay at unang ipinakilala sa bersyon ng pag-develop ng Nginx 1.3.9 noong Nobyembre 2012. Ang depekto ay naroroon din sa 1.4.0 stable na bersyon na inilabas noong nakaraang buwan.

Ang bug, na na-rate bilang mataas na kritikal sa pamamagitan ng kompanya ng pamamahala ng kahinaan na si Secun ito, ay naayos sa bagong Nginx 1.4.1 matatag na bersyon at Nginx 1.5.0 bersyon ng pag-unlad.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang matagumpay na pagsasamantala ay maaaring humantong sa arbitrary code execution at system na kompromiso, Sinabi ng Secunia sa kanyang advisory.

Nginx ay binuo na may pagganap at mababa memory paggamit sa isip at maaaring magamit bilang isang HTTP server, bilang isang reverse proxy server at bilang isang load balancer.

Nginx ay ang ikatlong pinaka-tinatanggap na ginamit na Web server software sa Internet pagkatapos ng Apache at Microsoft IIS na may market share na higit sa 15 porsiyento, ayon sa isang kamakailang Web server Survey sa pamamagitan ng mga serbisyo ng Internet firm Netcraft.

Gayunpaman, ang lumalagong popularidad ng software ay nakuha din ang pansin ng mga cybercriminal. Noong Martes, iniulat ng mga mananaliksik mula sa security vendor ESET ang pagtuklas ng isang sopistikadong programa ng backdoor na partikular na idinisenyo para sa mga server ng Nginx. Ang pagkakaroon ng nakahahamak na programa na ito ay katibayan na ang mga cybercriminals ay hindi na nagta-target lamang sa pinakapopular na software.