请选择 进入手机版 | 继续访问电脑版
查看: 2266|回复: 1

[其他] nginx爆出新漏洞 最低限度可造成Dos攻击

[复制链接]
发表于 2013-5-9 18:58:02 | 显示全部楼层 |阅读模式
国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。
nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。
解决方法:
绿盟科技建议站长升级到nginx 1.4.1或nginx 1.5.0。
但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 在nginx配置文件中的每个server{}块中使用如下配置
if ($http_transfer_encoding ~* chunked) {
return 444;
}
未受影响版本:
nginx 1.5.0
nginx 1.4.1
官方公告和补丁:
用nginx的用户请及时检查你的网站是否有漏洞,补丁请到nginx官方网站去下载!
发表于 2013-6-27 21:08:14 | 显示全部楼层
这种高级东西不会用了。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|Archiver|Baidu Inc.

GMT+8, 2020-8-6 16:23 , Processed in 0.208503 second(s), 16 queries .

Powered by Discuz! X3.2

© 2001-2011 Comsenz Inc.

返回顶部