nginx爆出新漏洞 最低限度可造成DDos攻击
我们论坛已经把nginx升级到了最新版本1.4.1.不受此漏洞的影响。5月9日消息:国内某安全厂商称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。http://blog.jiasule.com/wp-content/uploads/2013/05/%E6%9C%AA%E5%91%BD%E5%90%8D2.jpgnginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。解决方法:绿盟科技建议站长升级到nginx 1.4.1或nginx 1.5.0。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:* 在nginx配置文件中的每个server{}块中使用如下配置if ($http_transfer_encoding ~* chunked) {return 444;}未受影响版本:nginx 1.5.0nginx 1.4.1官方公告和补丁:链接:http://nginx.org/en/security_advisories.html源码补丁下载:http://nginx.org/download/patch.2013.chunked.txtDDOS攻击确定很可怕,对于中小网站来说,面对大规模DDOS攻击,可能即意味着噩梦的开始,本次nginx漏洞爆出,无疑会又有很多网站服务器因此沦为肉鸡,加速乐强烈建议使用nginx的网站及时升级,避免由受害者成为施害着。同时加速乐庞大的云防火墙集群严正以待随时应对可能发生的大规模DDOS攻击。
http://meng.horse/xwb/images/bgimg/icon_logo.png 该贴已经同步到 Horse的微博 不错,又占了一个沙发! 膜拜神贴,后面的请保持队形~ 看帖看完了至少要顶一下,还可以加入到淘帖哦! 不管你信不信,反正我是信了。
页:
[1]