标题:
[BUG反馈]
nginx爆出新漏洞 最低限度可造成Dos攻击
[打印本页]
作者:
adu1314258
时间:
2013-5-9 21:45
标题:
nginx爆出新漏洞 最低限度可造成Dos攻击
本帖最后由 adu1314258 于 2013-5-9 21:52 编辑
【nginx爆出新漏洞 最低限度可造成Dos攻击】
【WDCP系统会不会受影响】
经查询,wdcplinux自带nginx版本为:
nginx version: nginx/1.0.15
站长之家5月9日消息:国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。
nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。
解决方法:
建议站长升级到nginx 1.4.1或nginx 1.5.0。
但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 在nginx配置文件中的每个server{}块中使用如下配置
if ($http_transfer_encoding ~* chunked) {
return 444;
}
未受影响版本:
nginx 1.5.0
nginx 1.4.1
官方公告和补丁:
链接:http://nginx.org/en/security_advisories.html
源码补丁下载:http://nginx.org/download/patch.2013.chunked.txt
作者:
omaman
时间:
2013-5-9 23:47
还是wdcp升级nginx到1.5一劳永逸
作者:
marquis
时间:
2013-5-10 00:12
希望admin 在新版本升级nginx
作者:
omaman
时间:
2013-5-15 23:30
其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。
复制代码
是不是不影响wdlinux里的nginx啊,请管理员确认一下好吗?这个很重要的哇。
作者:
admin
时间:
2013-5-16 13:12
低版本的nginx都可能会有影响,可以考虑自行升级到高版本
作者:
admin
时间:
2013-5-22 14:00
可以用升级
wget
http://down.wdlinux.cn/in/nginx_up.sh
sh nginx_up.sh
就完了
默认是1.2.9版本,如想升级到其它的版本, 可在脚本后加上版本号,如
sh nginx_up.sh 1.4.1
就可以
作者:
baby100
时间:
2013-5-23 05:00
回复
6#
admin
这个怎么是1.2.9的版本?
作者:
admin
时间:
2013-5-23 09:58
默认是1.2.9,这个版本是不存在那个问题的
当然,也可以选择其它版本
欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/)
Powered by Discuz! 7.2
