Rank: 2

1^# 跳转到 » 倒序看帖

字体大小: tT

发表于 2013-5-9 21:45 | 只看该作者

提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细，如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示：信息不详,很可能会没人理你！论坛有教程说明的，也可能没人理！因为,你懂的

[BUG反馈] nginx爆出新漏洞最低限度可造成Dos攻击

本帖最后由 adu1314258 于 2013-5-9 21:52 编辑

【nginx爆出新漏洞最低限度可造成Dos攻击】
【WDCP系统会不会受影响】

经查询，wdcplinux自带nginx版本为：
nginx version: nginx/1.0.15

站长之家5月9日消息：国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞，攻击者利用此漏洞可能造成栈溢出，从而执行任意代码，最低限度可造成拒绝服务攻击。目前，官方已经发布安全公告以及相应补丁，提醒广大站长及时修补此漏洞。

nginx是一款流行的HTTP及反向代理服务器，同时也用作邮件代理服务器。其中，nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况，导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务，甚至执行任意代码。

解决方法：

建议站长升级到nginx 1.4.1或nginx 1.5.0。

但如果您不能立刻安装补丁或者升级，您可以采取以下措施以降低威胁：

* 在nginx配置文件中的每个server{}块中使用如下配置

if ($http_transfer_encoding ~* chunked) {

return 444;

}

未受影响版本：

nginx 1.5.0

nginx 1.4.1

官方公告和补丁：

链接：http://nginx.org/en/security_advisories.html

源码补丁下载：http://nginx.org/download/patch.2013.chunked.txt

omaman

注册会员

Rank: 2

2^#

发表于 2013-5-9 23:47 | 只看该作者

还是wdcp升级nginx到1.5一劳永逸

TOP

marquis

中级会员

Rank: 3 Rank: 3

3^#

发表于 2013-5-10 00:12 | 只看该作者

希望admin 在新版本升级nginx

TOP

omaman

注册会员

Rank: 2

4^#

发表于 2013-5-15 23:30 | 只看该作者

其中，nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况，导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务，甚至执行任意代码。

复制代码

是不是不影响wdlinux里的nginx啊，请管理员确认一下好吗？这个很重要的哇。

TOP

admin