wdlinux致力于Linux服务器架构,性能优化.免费CDN加速系统,免费智能DNS解析,负载均衡,集群分流

近日，Apache HTTP服务器的 mod_proxy_http 模块爆出连接超时检测的漏洞(CVE-2010-2068)，该漏洞级别定义为“重要”。

漏洞描述：

mod_proxy_http 的超时检测漏洞将会导致回应内容发送到不同的请求上面，相当于是请求了URL1，其实看到的是URL2的内容。

该漏洞只影响包括 Netware、Windows 和 OS2 平台上的 httpd， 版本涉及 2.2.9 到 2.2.15 以及 2.3.4-alpha 版本，早期的版本不存在此问题。

可以采取以下几种办法来避免漏洞：

不要加载 mod_proxy_http 模块；
不要使用 ProxySet 和 ProxyPass 可选参数来配置和启用任何 http proxy workder 池
使用下面配置参数直接禁用 mod_proxy_http 的重用后端连接管道
SetEnv proxy-nokeepalive 1

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布补丁修复该漏洞。

根据Netcraft的统计，直到2010年4月，全球一共有1300万台服务器运行着nginx程序；非常保守的估计，其中至少有600万台服务 器运行着nginx并启用了php支持；继续保守的估计，其中有1/6，也就是100万台服务器允许用户上传图片。有图有真相。

没错，重申一次，由于nginx有漏洞，这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单，就是把木马改 成图片上传就是了，由于危害非常大，就不说细节了。有兴趣的请访问 http://www.80sec.com/nginx-securit.html

说了那么多，我想大家对80sec这个顶级安全团队比较好奇吧，素包子简单介绍一下。