• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    Nginx爆发超级漏洞 百度加速乐率先防御

    北京时间11月20日,Nginx官方更新邮件列表,对外通报Nginx 0.8.41 - 1.5.6 版本存在两类高危漏洞,经过百度加速乐安全研究团队确认,漏洞确实存在。使用受影响版本Nginx的网站主要面临以下风险:
      (1)通过Nginx规则限制后台地址访问IP、数据库等敏感地址访问的网站如果使用受影响版本,可能会造成限制失效。
      (2)网站存在上传功能,攻击者可以上传存在恶意代码的图片、txt、html文件即可向网站植入后门。
      针对这一情况,加速乐已率先更新安全规则,可以完全防御针对本次漏洞的攻击。
      以下是Nginx官方邮件中文翻译信息:
      Nginx 的安全限制可能会被某些请求给忽略,(CVE-2013-4547).
      当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:

    复制代码
    代码如下:

    location /protected/ {
      deny all;
      }

      当请求的是 "/foo /../protected/file" 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:


    复制代码
    代码如下:

      location ~ \.php$ {
      fastcgi_pass ...
      }

      当我们请求 "/file \0.php" 时就会绕过限制。
      该问题影响 nginx 0.8.41 - 1.5.6.
      该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。

      补丁程序在:

      http://nginx.org/download/patch.2013.space.txt

      配置上临时的解决办法是:


    复制代码
    代码如下:

      if ($request_uri ~ " ") {
      return 444;
      }

    上一篇:迪爱斯承建“晋江12345”便民服务热线呼叫中心开通
    下一篇:妇联为移动侯马呼叫中心“全国巾帼文明岗”揭牌
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    Nginx爆发超级漏洞 百度加速乐率先防御 Nginx,爆发,超级,漏洞,百度,