近日，Apache HTTP服務器的 mod_proxy_http 模塊爆出連接超時檢測的漏洞(CVE-2010-2068)，該漏洞級別定義為“重要”。

漏洞描述：

mod_proxy_http 的超時檢測漏洞將會導致回應內容發(fā)送到不同的請求上面，相當于是請求了URL1，其實看到的是URL2的內容。

該漏洞只影響包括 Netware、Windows 和 OS2 平臺上的 httpd， 版本涉及 2.2.9 到 2.2.15 以及 2.3.4-alpha 版本，早期的版本不存在此問題。

可以采取以下幾種辦法來避免漏洞：

不要加載 mod_proxy_http 模塊；
不要使用 ProxySet 和 ProxyPass 可選參數(shù)來配置和啟用任何 http proxy workder 池
使用下面配置參數(shù)直接禁用 mod_proxy_http 的重用后端連接管道
SetEnv proxy-nokeepalive 1

國內頂級安全團隊80sec于5.20日下午6點發(fā)布了一個關于nginx的漏洞通告，由于該漏洞的存在，使用nginx+php組建的網(wǎng)站只要允 許上傳圖片就可能被黑客入侵，直到5.21日凌晨，nginx尚未發(fā)布補丁修復該漏洞。

根據(jù)Netcraft的統(tǒng)計，直到2010年4月，全球一共有1300萬臺服務器運行著nginx程序；非常保守的估計，其中至少有600萬臺服務 器運行著nginx并啟用了php支持；繼續(xù)保守的估計，其中有1/6，也就是100萬臺服務器允許用戶上傳圖片。有圖有真相。

沒錯，重申一次，由于nginx有漏洞，這100萬臺服務器可能通過上傳圖片的方法被黑客輕易的植入木馬。植入木馬的過程也非常簡單，就是把木馬改 成圖片上傳就是了，由于危害非常大，就不說細節(jié)了。有興趣的請訪問 http://www.80sec.com/nginx-securit.html

說了那么多，我想大家對80sec這個頂級安全團隊比較好奇吧，素包子簡單介紹一下。