Разработчики популярного веб-сервера с открытым кодом Nginx выпустили обновление CVE-2013-2028, устраняющее критическую уязвимость, с использованием которой атакующие могли исполнять на серверах произвольный код.

Исправленная ошибка вызывала переполнение буфера при повреждении стека. Она появилась в еще в версии Nginx 1.3.9 в ноябре прошлого года и продержалась включительно до стабильного релиза Nginx 1.4.0, вышедшего в апреле. В стабильной версии Nginx 1.4.1 и девелоперской 1.5.0 ошибка исправлена. Использование уязвимости возможно путем отправки на сервер Nginx специально подготовленных частей (chunks) HTTP-сообщений.

Nginx отличается высоким быстродействием и малым расходом памяти; ПО можно использовать как HTTP-сервер, обратный прокси или балансировщик нагрузки. Nginx широко применяется на сайтах с большой нагрузкой и является третьим по популярности веб-сервером после Apache и Microsoft IIS. Его доля рынка, по данным Netcraft, составляет больше 15%. Рост популярности Nginx привлекает внимание киберзлоумышленников: недавно компания ESET сообщила о сложном вирусе специально для Nginx, открывающим черный вход в системе.