全球主机交流论坛

标题: Nginx 1.0.x 标头解析内存泄露漏洞 [打印本页]

---

作者: 快乐居士    时间: 2012-3-17 01:43
标题: Nginx 1.0.x 标头解析内存泄露漏洞
发布时间: 2012-03-15
漏洞版本:
Nginx 1.0.x
漏洞描述:
nginx是一款使用非常广泛的高性能web服务器

nginx在解析服务器标头响应的实现上存在错误，可被远程攻击者利用泄露已经释放的内存
<* 参考
http://secunia.com/advisories/48366/
http://trac.nginx.org/nginx/changeset/4535/nginx
*>
安全建议:
厂商补丁：

Nginx
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://nginx.net/
@Sebug.net [ 2012-03-16 ]

---

作者: Kvm    时间: 2012-3-17 01:50
会产生拒绝攻击？

---

作者: 快乐居士    时间: 2012-3-17 01:53
其实是蛋疼漏洞，
小白级的搞不定的

---

作者: guaku    时间: 2012-3-17 01:53
我发现我好几个VPS在用1.0.4...

---

作者: alttcn    时间: 2012-3-17 02:00
军哥的有问题吗？

---

作者: Yikmings    时间: 2012-3-17 02:17
军哥的有修正嗎??

---

作者: 22116188    时间: 2012-3-17 02:18
以后找低版本的来装

---

作者: malsvent    时间: 2012-3-17 02:38
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: 淘金者    时间: 2012-3-17 03:07
大家都按照军哥的版本吗？

---

作者: usa    时间: 2012-3-17 03:40
不修复了...话说上次PHP的漏洞还没修复,还真没遇到啥攻击...

---

作者: walkman660    时间: 2012-3-17 03:43
不怕贼偷 就怕贼惦记

---

作者: dreamisok    时间: 2012-3-17 10:07
我用的 apache 2.4 + php 5.3

---

作者: 福满天下    时间: 2012-3-17 10:11
快快安装canmp，一律采用最新正式版的nginx

---

作者: neverno    时间: 2012-3-17 17:30
淘宝给出的答复

但是我们评估这个问题不严重，特别是你的proxy/fastcgi连接的都是自己的应用的话——要触发这个问题需要自己攻击自己。

---

作者: 火雪心    时间: 2012-3-17 17:39
直接升级         nginx的1.0.14 稳定版即可

---

作者: heibudong    时间: 2012-3-17 17:40
只会用IIS 的路过！！！

---

作者: Kokgog    时间: 2012-3-17 17:43

malsvent 发表于 2012-3-17 02:38
全系列都有影响
1.0和1.1更新版都已发布

用0.x的大部分都是直接安装发行版本身仓库里的nginx, 这部分反而出问题概率最小,只要os没出生命周期, bug一出, 就算官方不出补丁, 社区也会出的, 只要及时更新就成

---

作者: 有个就好    时间: 2012-3-17 17:52
我早发过了

---

作者: ljb0901    时间: 2012-3-17 19:03
已升级nginx的1.0.14

---

欢迎光临 全球主机交流论坛 (https://443502.xyz/)

Powered by Discuz! X3.4