nginx SMTP代理远程命令注入漏洞

nginx SMTP代理远程命令注入漏洞发布日期：2014-08-07
更新日期：2014-08-08受影响系统：
Nginx Nginx <= 1.6.1
Nginx Nginx 1.7.4
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 69111
CVE（CAN） ID: CVE-2014-3556

nginx是一款使用非常广泛的高性能web服务器。

nginx 1.6.1之前版本、1.7.4版本在实现上存在STARTTLS纯文本远程命令注入漏洞，攻击者可利用此漏洞注入命令到SSL会话并泄露敏感信息。

<*来源：Chris Boulton
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

Nginx
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://nginx.org/en/download.html--------------------------------------分割线 --------------------------------------CentOS 6.2实战部署Nginx+MySQL+PHP http://www.linuxidc.com/Linux/2013-09/90020.htm使用Nginx搭建WEB服务器 http://www.linuxidc.com/Linux/2013-09/89768.htm搭建基于Linux6.3+Nginx1.2+PHP5+MySQL5.5的Web服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htmCentOS 6.3下Nginx性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htmCentOS 6.3下配置Nginx加载ngx_pagespeed模块 http://www.linuxidc.com/Linux/2013-09/89657.htmCentOS 6.4安装配置Nginx+Pcre+php-fpm http://www.linuxidc.com/Linux/2013-08/88984.htmNginx安装配置使用详细笔记 http://www.linuxidc.com/Linux/2014-07/104499.htmNginx日志过滤使用ngx_log_if不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm--------------------------------------分割线 --------------------------------------Nginx 的详细介绍：请点这里
Nginx 的下载地址：请点这里