这是来自 Nginx 邮件列表的内容:Nginx URI处理安全限制绕过漏洞(CVE-2013-4547) http://www.linuxidc.com/Linux/2013-11/93026.htmNginx 的安全限制可能会被某些请求给忽略,(CVE-2013-4547).当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:location /protected/ {
deny all;
}当请求的是 "/foo /../protected/file" 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:location ~ .php$ {
fastcgi_pass ...
}当我们请求 "/file �.php" 时就会绕过限制。该问题影响 nginx 0.8.41 - 1.5.6.该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。补丁程序在:http://nginx.org/download/patch.2013.space.txt
配置上临时的解决办法是:if ($request_uri ~ " ") {
return 444;
}
推荐阅读:Nginx实现反向代理和负载均衡的配置及优化 http://www.linuxidc.com/Linux/2013-11/92909.htmNginx做负载均衡报:nginx: [emerg] could not build the types_hash http://www.linuxidc.com/Linux/2013-10/92063.htmNginx 负载均衡模块 ngx_http_upstream_module 详述 http://www.linuxidc.com/Linux/2013-10/91907.htmNginx+Firebug 让浏览器告诉你负载均衡将请求分到了哪台服务器 http://www.linuxidc.com/Linux/2013-10/91824.htmUbuntu安装Nginx php5-fpm MySQL(LNMP环境搭建) http://www.linuxidc.com/Linux/2012-10/72458.htm
Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里Mozilla Netscape Portable Runtime整数溢出漏洞(CVE-2013-5607)Opera Web Browser 18.00之前版本多个安全漏洞相关资讯 Nginx漏洞 Nginx安全漏洞
- Nginx 空指针间接引用漏洞(CVE- (06月03日)
- Canonical解决了一个Ubuntu 14.04 (09/28/2014 10:02:41)
- nginx SMTP代理远程命令注入漏洞 (08/08/2014 20:31:49)
| - nginx resolver 拒绝服务漏洞(CVE- (02月17日)
- nginx SSL会话固定漏洞(CVE-2014- (09/25/2014 16:35:32)
- nginx SPDY Implementation任意代 (05/22/2014 18:10:52)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站