手机
当前位置:查字典教程网 >建站 >网站运营相关 >Nginx爆发超级漏洞 百度加速乐率先防御
Nginx爆发超级漏洞 百度加速乐率先防御
摘要:北京时间11月20日,Nginx官方更新邮件列表,对外通报Nginx0.8.41-1.5.6版本存在两类高危漏洞,经过百度加速乐安全研究团队...

北京时间11月20日,Nginx官方更新邮件列表,对外通报Nginx 0.8.41 - 1.5.6 版本存在两类高危漏洞,经过百度加速乐安全研究团队确认,漏洞确实存在。使用受影响版本Nginx的网站主要面临以下风险:

(1)通过Nginx规则限制后台地址访问IP、数据库等敏感地址访问的网站如果使用受影响版本,可能会造成限制失效。

(2)网站存在上传功能,攻击者可以上传存在恶意代码的图片、txt、html文件即可向网站植入后门。

针对这一情况,加速乐已率先更新安全规则,可以完全防御针对本次漏洞的攻击。

以下是Nginx官方邮件中文翻译信息:

Nginx 的安全限制可能会被某些请求给忽略,(CVE-2013-4547).

当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:

location /protected/ {

deny all;

}

当请求的是 "/foo /../protected/file" 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:

location ~ .php$ {

fastcgi_pass ...

}

当我们请求 "/file .php" 时就会绕过限制。

该问题影响 nginx 0.8.41 - 1.5.6.

该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。

补丁程序在:

http://nginx.org/download/patch.2013.space.txt

配置上临时的解决办法是:

if ($request_uri ~ " ") {

return 444;

}

【Nginx爆发超级漏洞 百度加速乐率先防御】相关文章:

恒大为什么会成功?透过恒大营销模式我们学到了什么?

未来云计算格局 数据安全是根基

成都动漫展 加速乐首席萌妹纸设计师美过度娘

百度加速乐智能DNS再升级,实现多线路覆盖

Struts2漏洞补丁陷乌龙门 百度加速乐提供独家防御方案

剖析移动站点建站工具搜狐快站的战略理念

QQ提示危险网站怎么办 QQ提示危险网站解封方法

逼疯设计师的19 个网站:2014年了还活着!

网站如何增加用户 解析0到100万用户运营之道:无用户不产品

颠覆性创新 这次百度加速乐重新定义DNS

精品推荐
分类导航