发布日期:2013-11-19
更新日期:2013-11-21受影响系统:
Igor Sysoev nginx < 1.5.7
Igor Sysoev nginx < 1.4.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 63814
CVE(CAN) ID: CVE-2013-4547Nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。nginx 0.8.41-1.5.6验证包含未转义空间字符的URI时,在实现上存在远程安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。<*来源:Ivan Fratric (ifsecure@gmail.com)
链接:http://secunia.com/advisories/55757/ Nginx 安全漏洞 (CVE-2013-4547) http://www.linuxidc.com/Linux/2013-11/93000.htm
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!/file �.php建议:
--------------------------------------------------------------------------------
厂商补丁:Igor Sysoev
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://nginx.org/en/download.html
http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.htm
推荐阅读:Nginx实现反向代理和负载均衡的配置及优化 http://www.linuxidc.com/Linux/2013-11/92909.htmNginx做负载均衡报:nginx: [emerg] could not build the types_hash http://www.linuxidc.com/Linux/2013-10/92063.htmNginx 负载均衡模块 ngx_http_upstream_module 详述 http://www.linuxidc.com/Linux/2013-10/91907.htmNginx+Firebug 让浏览器告诉你负载均衡将请求分到了哪台服务器 http://www.linuxidc.com/Linux/2013-10/91824.htmUbuntu安装Nginx php5-fpm MySQL(LNMP环境搭建) http://www.linuxidc.com/Linux/2012-10/72458.htm
Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里PineApp Mail-SeCure本地权限提升漏洞(CVE-2013-6831)Xen "dma_pte_clear_one()"函数本地权限提升漏洞相关资讯 Nginx漏洞
- Nginx 空指针间接引用漏洞(CVE- (06月03日)
- Canonical解决了一个Ubuntu 14.04 (09/28/2014 10:02:41)
- nginx SMTP代理远程命令注入漏洞 (08/08/2014 20:31:49)
| - nginx resolver 拒绝服务漏洞(CVE- (02月17日)
- nginx SSL会话固定漏洞(CVE-2014- (09/25/2014 16:35:32)
- nginx SPDY Implementation任意代 (05/22/2014 18:10:52)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您
|
易网时代-编程资源站