VPS侦探论坛

 找回密码
 注册
查看: 5558|回复: 7

nginx爆出新漏洞 最低限度可造成Dos攻击

[复制链接]
发表于 2013-5-9 20:16:43 | 显示全部楼层 |阅读模式

国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。
解决方法:
绿盟科技建议站长升级到nginx 1.4.1或nginx 1.5.0。
但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 在nginx配置文件中的每个server{}块中使用如下配置
if ($http_transfer_encoding ~* chunked) {
return 444;
}
未受影响版本:
nginx 1.5.0
nginx 1.4.1
官方公告和补丁:
链接:http://nginx.org/en/security_advisories.html
源码补丁下载:http://nginx.org/download/patch.2013.chunked.txt
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2013-5-9 20:20:25 | 显示全部楼层


在nginx配置文件中的每个server{}块中使用如下配置
if ($http_transfer_encoding ~* chunked) {
return 444;
}
这句话是说在nginx.conf里改还是每个虚拟机的.conf里加。
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
发表于 2013-5-9 22:46:51 | 显示全部楼层

军哥的1.015没什么影响,看公告
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2013-5-10 05:59:57 | 显示全部楼层

回复 3# 的帖子




我的是lnmp0.8 nginx版本是:nginx/1.0.10
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2013-5-10 20:51:14 | 显示全部楼层

顶顶。顶顶。顶顶。顶顶。顶顶。

军哥运维代购:http://shop63846532.taobao.com/

发表于 2013-5-10 21:31:35 | 显示全部楼层

按官网的信息看是不影响的,lnmp都采用的Legacy versions
 楼主| 发表于 2013-5-13 12:15:54 | 显示全部楼层

原帖由 licess 于 2013-5-10 21:31 发表
按官网的信息看是不影响的,lnmp都采用的Legacy versions



不影响吗。谢谢。
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2013-5-13 14:15:20 | 显示全部楼层

已经升级到1.5.0
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2024-12-27 02:30 , Processed in 0.027823 second(s), 17 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表