永久黄网站色视频免费直播,yy6080三理论日本中文,亚洲无码免费在线观看视频,欧美日韩精品一区二区在线播放

Board logo

標(biāo)題: [BUG反饋] nginx爆出新漏洞 最低限度可造成Dos攻擊 [打印本頁(yè)]
作者: adu1314258    時(shí)間: 2013-5-9 21:45     標(biāo)題: nginx爆出新漏洞 最低限度可造成Dos攻擊

本帖最后由 adu1314258 于 2013-5-9 21:52 編輯

【nginx爆出新漏洞 最低限度可造成Dos攻擊】
【W(wǎng)DCP系統(tǒng)會(huì)不會(huì)受影響】



經(jīng)查詢,wdcplinux自帶nginx版本為:
nginx version: nginx/1.0.15

站長(zhǎng)之家5月9日消息:國(guó)內(nèi)網(wǎng)絡(luò)安全服務(wù)商綠盟科技稱HTTP代理服務(wù)器nginx爆出遠(yuǎn)程棧緩沖區(qū)溢出漏洞,攻擊者利用此漏洞可能造成棧溢出,從而執(zhí)行任意代碼,最低限度可造成拒絕服務(wù)攻擊。目前,官方已經(jīng)發(fā)布安全公告以及相應(yīng)補(bǔ)丁,提醒廣大站長(zhǎng)及時(shí)修補(bǔ)此漏洞。

nginx是一款流行的HTTP及反向代理服務(wù)器,同時(shí)也用作郵件代理服務(wù)器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代碼中的ngx_http_parse_chunked()函數(shù)在對(duì)chunked的長(zhǎng)度進(jìn)行解析時(shí)未考慮到該值為負(fù)數(shù)的情況,導(dǎo)致后續(xù)發(fā)生基于棧的緩沖區(qū)溢出。遠(yuǎn)程攻擊者無(wú)需認(rèn)證即可利用此漏造成nginx拒絕服務(wù),甚至執(zhí)行任意代碼。

解決方法:

建議站長(zhǎng)升級(jí)到nginx 1.4.1或nginx 1.5.0。

但如果您不能立刻安裝補(bǔ)丁或者升級(jí),您可以采取以下措施以降低威脅:

* 在nginx配置文件中的每個(gè)server{}塊中使用如下配置

if ($http_transfer_encoding ~* chunked) {

return 444;

}

未受影響版本:

nginx 1.5.0

nginx 1.4.1

官方公告和補(bǔ)丁:

鏈接:http://nginx.org/en/security_advisories.html

源碼補(bǔ)丁下載:http://nginx.org/download/patch.2013.chunked.txt
作者: omaman    時(shí)間: 2013-5-9 23:47

還是wdcp升級(jí)nginx到1.5一勞永逸
作者: marquis    時(shí)間: 2013-5-10 00:12

希望admin 在新版本升級(jí)nginx
作者: omaman    時(shí)間: 2013-5-15 23:30

  1. 其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代碼中的ngx_http_parse_chunked()函數(shù)在對(duì)chunked的長(zhǎng)度進(jìn)行解析時(shí)未考慮到該值為負(fù)數(shù)的情況,導(dǎo)致后續(xù)發(fā)生基于棧的緩沖區(qū)溢出。遠(yuǎn)程攻擊者無(wú)需認(rèn)證即可利用此漏造成nginx拒絕服務(wù),甚至執(zhí)行任意代碼。
復(fù)制代碼


是不是不影響wdlinux里的nginx啊,請(qǐng)管理員確認(rèn)一下好嗎?這個(gè)很重要的哇。
作者: admin    時(shí)間: 2013-5-16 13:12

低版本的nginx都可能會(huì)有影響,可以考慮自行升級(jí)到高版本
作者: admin    時(shí)間: 2013-5-22 14:00

可以用升級(jí)
wget http://down.wdlinux.cn/in/nginx_up.sh
sh nginx_up.sh
就完了

默認(rèn)是1.2.9版本,如想升級(jí)到其它的版本, 可在腳本后加上版本號(hào),如
sh nginx_up.sh 1.4.1
就可以
作者: baby100    時(shí)間: 2013-5-23 05:00

回復(fù) 6# admin


    這個(gè)怎么是1.2.9的版本?
作者: admin    時(shí)間: 2013-5-23 09:58

默認(rèn)是1.2.9,這個(gè)版本是不存在那個(gè)問(wèn)題的
當(dāng)然,也可以選擇其它版本



歡迎光臨 WDlinux官方論壇 (http://www.fsowen.com/bbs/) Powered by Discuz! 7.2