http://www.fsowen.com/old/taxonomy/term/12/0 安全資訊 zh-hans http://www.fsowen.com/old/node/26 <p>近日，Apache HTTP服務(wù)器的 mod_proxy_http 模塊爆出連接超時(shí)檢測(cè)的漏洞(CVE-2010-2068)，該漏洞級(jí)別定義為&ldquo;重要&rdquo;。</p> <p>漏洞描述：</p> <p>mod_proxy_http 的超時(shí)檢測(cè)漏洞將會(huì)導(dǎo)致回應(yīng)內(nèi)容發(fā)送到不同的請(qǐng)求上面，相當(dāng)于是請(qǐng)求了URL1，其實(shí)看到的是URL2的內(nèi)容。</p> <p>該漏洞只影響包括 Netware、Windows 和 OS2 平臺(tái)上的 httpd， 版本涉及 2.2.9 到 2.2.15 以及 2.3.4-alpha 版本，早期的版本不存在此問題。</p> <p>可以采取以下幾種辦法來避免漏洞：</p> <p>不要加載 mod_proxy_http 模塊；<br /> 不要使用 ProxySet 和 ProxyPass 可選參數(shù)來配置和啟用任何 http proxy workder 池<br /> 使用下面配置參數(shù)直接禁用 mod_proxy_http 的重用后端連接管道<br /> SetEnv proxy-nokeepalive 1</p> <p><a href="http://www.fsowen.com/old/node/26" target="_blank">閱讀全文</a></p> http://www.fsowen.com/old/node/26#comments 安全資訊 apache/nginx/web Sat, 12 Jun 2010 01:22:47 +0000 wdlinux 26 at http://www.fsowen.com/old http://www.fsowen.com/old/nginx_safe_20100521 <p>國內(nèi)頂級(jí)安全團(tuán)隊(duì)80sec于5.20日下午6點(diǎn)發(fā)布了一個(gè)關(guān)于nginx的漏洞通告，由于該漏洞的存在，使用nginx+php組建的網(wǎng)站只要允 許上傳圖片就可能被黑客入侵，直到5.21日凌晨，nginx尚未發(fā)布補(bǔ)丁修復(fù)該漏洞。</p> <p>根據(jù)Netcraft的統(tǒng)計(jì)，直到2010年4月，全球一共有1300萬臺(tái)服務(wù)器運(yùn)行著nginx程序；非常保守的估計(jì)，其中至少有600萬臺(tái)服務(wù) 器運(yùn)行著nginx并啟用了php支持；繼續(xù)保守的估計(jì)，其中有1/6，也就是100萬臺(tái)服務(wù)器允許用戶上傳圖片。有圖有真相。</p> <p>沒錯(cuò)，重申一次，由于nginx有漏洞，這100萬臺(tái)服務(wù)器可能通過上傳圖片的方法被黑客輕易的植入木馬。植入木馬的過程也非常簡單，就是把木馬改 成圖片上傳就是了，由于危害非常大，就不說細(xì)節(jié)了。有興趣的請(qǐng)?jiān)L問 <a title="http://www.80sec.com/nginx-securit.html" href="http://www.80sec.com/nginx-securit.html" jquery1285295814171="48">http://www.80sec.com/nginx-securit.html</a></p> <p>說了那么多，我想大家對(duì)80sec這個(gè)頂級(jí)安全團(tuán)隊(duì)比較好奇吧，素包子簡單介紹一下。</p> <p><a href="http://www.fsowen.com/old/nginx_safe_20100521" target="_blank">閱讀全文</a></p> http://www.fsowen.com/old/nginx_safe_20100521#comments 安全資訊 apache/nginx/web Mon, 24 May 2010 05:19:53 +0000 wdlinux 15 at http://www.fsowen.com/old