99精品国产综合久久久久五月天,免费观看欧美大片毛片不用播放器 ,AV无码理论片在线观看免费网站,国产精品国产成人国产三级

Board logo

標題: [BUG反饋] nginx爆出新漏洞 最低限度可造成Dos攻擊 [打印本頁]
作者: adu1314258    時間: 2013-5-9 21:45     標題: nginx爆出新漏洞 最低限度可造成Dos攻擊

本帖最后由 adu1314258 于 2013-5-9 21:52 編輯

【nginx爆出新漏洞 最低限度可造成Dos攻擊】
【W(wǎng)DCP系統(tǒng)會不會受影響】



經(jīng)查詢,wdcplinux自帶nginx版本為:
nginx version: nginx/1.0.15

站長之家5月9日消息:國內(nèi)網(wǎng)絡安全服務商綠盟科技稱HTTP代理服務器nginx爆出遠程棧緩沖區(qū)溢出漏洞,攻擊者利用此漏洞可能造成棧溢出,從而執(zhí)行任意代碼,最低限度可造成拒絕服務攻擊。目前,官方已經(jīng)發(fā)布安全公告以及相應補丁,提醒廣大站長及時修補此漏洞。

nginx是一款流行的HTTP及反向代理服務器,同時也用作郵件代理服務器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代碼中的ngx_http_parse_chunked()函數(shù)在對chunked的長度進行解析時未考慮到該值為負數(shù)的情況,導致后續(xù)發(fā)生基于棧的緩沖區(qū)溢出。遠程攻擊者無需認證即可利用此漏造成nginx拒絕服務,甚至執(zhí)行任意代碼。

解決方法:

建議站長升級到nginx 1.4.1或nginx 1.5.0。

但如果您不能立刻安裝補丁或者升級,您可以采取以下措施以降低威脅:

* 在nginx配置文件中的每個server{}塊中使用如下配置

if ($http_transfer_encoding ~* chunked) {

return 444;

}

未受影響版本:

nginx 1.5.0

nginx 1.4.1

官方公告和補。

鏈接:http://nginx.org/en/security_advisories.html

源碼補丁下載:http://nginx.org/download/patch.2013.chunked.txt
作者: omaman    時間: 2013-5-9 23:47

還是wdcp升級nginx到1.5一勞永逸
作者: marquis    時間: 2013-5-10 00:12

希望admin 在新版本升級nginx
作者: omaman    時間: 2013-5-15 23:30

  1. 其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代碼中的ngx_http_parse_chunked()函數(shù)在對chunked的長度進行解析時未考慮到該值為負數(shù)的情況,導致后續(xù)發(fā)生基于棧的緩沖區(qū)溢出。遠程攻擊者無需認證即可利用此漏造成nginx拒絕服務,甚至執(zhí)行任意代碼。
復制代碼


是不是不影響wdlinux里的nginx啊,請管理員確認一下好嗎?這個很重要的哇。
作者: admin    時間: 2013-5-16 13:12

低版本的nginx都可能會有影響,可以考慮自行升級到高版本
作者: admin    時間: 2013-5-22 14:00

可以用升級
wget http://down.wdlinux.cn/in/nginx_up.sh
sh nginx_up.sh
就完了

默認是1.2.9版本,如想升級到其它的版本, 可在腳本后加上版本號,如
sh nginx_up.sh 1.4.1
就可以
作者: baby100    時間: 2013-5-23 05:00

回復 6# admin


    這個怎么是1.2.9的版本?
作者: admin    時間: 2013-5-23 09:58

默認是1.2.9,這個版本是不存在那個問題的
當然,也可以選擇其它版本



歡迎光臨 WDlinux官方論壇 (http://fudaan.com/bbs/) Powered by Discuz! 7.2