Nginx 1.0.x 标头解析内存泄露漏洞

快乐居士 · 发表于 2012-3-17 01:43:46

发布时间: 2012-03-15
漏洞版本:
Nginx 1.0.x
漏洞描述:
nginx是一款使用非常广泛的高性能web服务器

nginx在解析服务器标头响应的实现上存在错误，可被远程攻击者利用泄露已经释放的内存
<* 参考
http://secunia.com/advisories/48366/
http://trac.nginx.org/nginx/changeset/4535/nginx
*>
安全建议:
厂商补丁：

Nginx
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://nginx.net/
@Sebug.net [ 2012-03-16 ]

ljb0901 · 发表于 2012-3-17 19:03:17

已升级nginx的1.0.14

有个就好 · 发表于 2012-3-17 17:52:04

我早发过了

Kokgog · 发表于 2012-3-17 17:43:25

malsvent 发表于 2012-3-17 02:38
全系列都有影响
1.0和1.1更新版都已发布

用0.x的大部分都是直接安装发行版本身仓库里的nginx, 这部分反而出问题概率最小,只要os没出生命周期, bug一出, 就算官方不出补丁, 社区也会出的, 只要及时更新就成

heibudong · 发表于 2012-3-17 17:40:10

只会用IIS 的路过！！！

火雪心 · 发表于 2012-3-17 17:39:36

直接升级 nginx的1.0.14 稳定版即可

neverno · 发表于 2012-3-17 17:30:36

淘宝给出的答复

但是我们评估这个问题不严重，特别是你的proxy/fastcgi连接的都是自己的应用的话——要触发这个问题需要自己攻击自己。

福满天下 · 发表于 2012-3-17 10:11:53

快快安装canmp，一律采用最新正式版

的nginx

dreamisok · 发表于 2012-3-17 10:07:28

我用的 apache 2.4 + php 5.3

walkman660 · 发表于 2012-3-17 03:43:51

不怕贼偷就怕贼惦记

		自动登录	找回密码
密码			注册

[已解决] Nginx 1.0.x 标头解析内存泄露漏洞

评分

相关帖子

评分