Linux系统运维:http://www.linuxyw.com Linux系统运维

Linux系统运维 - 专业的linux运维学习与交流社区

当前位置: 主页 > 业内 >

nginx爆出新漏洞 最低限度可造成Dos攻击

时间:2013-05-10 09:53来源:www.xshell.net 作者:admin 点击:
国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经

国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。

  nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。

解决方法:

绿盟科技建议站长升级到nginx 1.4.1或nginx 1.5.0。

但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:

* 在nginx配置文件中的每个server{}块中使用如下配置

if ($http_transfer_encoding ~* chunked) {

return 444;

}

未受影响版本:

nginx 1.5.0

nginx 1.4.1

官方公告和补丁:

链接:http://nginx.org/en/security_advisories.html

源码补丁下载:http://nginx.org/download/patch.2013.chunked.txt

来自:http://www.xshell.net/security/nginx_bug_dos.html

本文来自linux系统运维http://www.linuxyw.com/linux/yenei/293.html

顶一下
(0)
0%
踩一下
(0)
0%
分享按钮
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
栏目列表
推荐内容