网站运营 
首页 > 网站运营 > 浏览文章

Nginx爆发超级漏洞 百度加速乐率先防御

(编辑:jimmy 日期: 2024/11/24 浏览:3 次 )

北京时间11月20日,Nginx官方更新邮件列表,对外通报Nginx 0.8.41 - 1.5.6 版本存在两类高危漏洞,经过百度加速乐安全研究团队确认,漏洞确实存在。使用受影响版本Nginx的网站主要面临以下风险:
  (1)通过Nginx规则限制后台地址访问IP、数据库等敏感地址访问的网站如果使用受影响版本,可能会造成限制失效。
  (2)网站存在上传功能,攻击者可以上传存在恶意代码的图片、txt、html文件即可向网站植入后门。
  针对这一情况,加速乐已率先更新安全规则,可以完全防御针对本次漏洞的攻击。
  以下是Nginx官方邮件中文翻译信息:
  Nginx 的安全限制可能会被某些请求给忽略,(CVE-2013-4547).
  当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:

复制代码代码如下:
location /protected/ {
  deny all;
  }

  当请求的是 "/foo /../protected/file" 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:


复制代码代码如下:
  location ~ \.php$ {
  fastcgi_pass ...
  }

  当我们请求 "/file \0.php" 时就会绕过限制。
  该问题影响 nginx 0.8.41 - 1.5.6.
  该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。

  补丁程序在:

  http://nginx.org/download/patch.2013.space.txt

  配置上临时的解决办法是:


复制代码代码如下:
  if ($request_uri ~ " ") {
  return 444;
  }

上一篇:探讨:个人网站的盈利模式有哪些
下一篇:网页广告常用的10种形式小结
一句话新闻
Windows上运行安卓你用过了吗
在去年的5月23日,借助Intel Bridge Technology以及Intel Celadon两项技术的驱动,Intel为PC用户带来了Android On Windows(AOW)平台,并携手国内软件公司腾讯共同推出了腾讯应用宝电脑版,将Windows与安卓两大生态进行了融合,PC的使用体验随即被带入到了一个全新的阶段。
友情链接:杰晶网络 DDR爱好者之家 南强小屋 黑松山资源网 白云城资源网 网站地图 SiteMap