こんにちは、LinuCエバンジェリストこと、鯨井貴博@opensourcetechです。
nginx unit の最新バージョン 1.7.1がリリースされました。
Changelogs
更新内容は、以下の通り。
脆弱性対応(CVE-2019-7401)とGoモジュールに関するビルドのバグフィックスです。
Unit security advisory (CVE-2019-7401)
Changes with Unit 1.7.1 07 Feb 2019
*) Security: a heap memory buffer overflow might have been caused in the
router process by a specially crafted request, potentially resulting
in a segmentation fault or other unspecified behavior
(CVE-2019-7401).
*) Bugfix: install of Go module failed without prior building of Unit
daemon; the bug had appeared in 1.7.
Changelogs(日本語訳)
*)セキュリティ:特別に細工された要求によってルータープロセスでヒープメモリバッファオーバーフローが引き起こされる可能性があり、その結果、セグメンテーションエラーまたはその他の不特定の動作が生じる可能性があった(CVE-2019-7401)。
*)バグ修正:ユニットデーモンを事前にビルドせずにGoモジュールをインストールできなかった。 このバグは1.7に現れました。
なお、CVE-2019-7401については、以下を参照ください。
https://nvd.nist.gov/vuln/detail/CVE-2019-7401
https://www.linux.org.ru/news/security/14792414