nginx爆出新漏洞 最低限度可造成DDos攻击
2014-01-05 03:48
423 查看
5月9日消息:国内某安全厂商称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。
nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对 chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚 至执行任意代码。
解决方法:
建议站长升级到nginx 1.4.1或nginx 1.5.0。
但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 在nginx配置文件中的每个server{}块中使用如下配置
if ($http_transfer_encoding ~* chunked) {
return 444;
}
未受影响版本:
nginx 1.5.0
nginx 1.4.1
官方公告和补丁:
链接:http://nginx.org/en/security_advisories.html
源码补丁下载:http://nginx.org/download/patch.2013.chunked.txt
DDOS攻击确定很可怕,对于中小网站来说,面对大规模DDOS攻击,可能即意味着噩梦的开始,本次nginx漏洞爆出,无疑会又有很多网站服务器 因此沦为肉鸡,加速乐强烈建议使用nginx的网站及时升级,避免由受害者成为施害着。同时加速乐庞大的云防火墙集群严正以待随时应对可能发生的大规模 DDOS攻击。
===
本文内容来自微信公众账号:加速乐
微信ID:jiasule
“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。
nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对 chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚 至执行任意代码。
解决方法:
建议站长升级到nginx 1.4.1或nginx 1.5.0。
但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 在nginx配置文件中的每个server{}块中使用如下配置
if ($http_transfer_encoding ~* chunked) {
return 444;
}
未受影响版本:
nginx 1.5.0
nginx 1.4.1
官方公告和补丁:
链接:http://nginx.org/en/security_advisories.html
源码补丁下载:http://nginx.org/download/patch.2013.chunked.txt
DDOS攻击确定很可怕,对于中小网站来说,面对大规模DDOS攻击,可能即意味着噩梦的开始,本次nginx漏洞爆出,无疑会又有很多网站服务器 因此沦为肉鸡,加速乐强烈建议使用nginx的网站及时升级,避免由受害者成为施害着。同时加速乐庞大的云防火墙集群严正以待随时应对可能发生的大规模 DDOS攻击。
===
本文内容来自微信公众账号:加速乐
微信ID:jiasule
“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。
相关文章推荐
- Nginx爆出新漏洞,谨防“拖库”风险
- 通过Nginx和Nginx Plus阻止DDoS攻击
- 游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
- 相对路径和绝对路径错误造成的漏洞
- 微软必应搜索爆出漏洞 不购物也可领取返现款
- 造成 nginx 403 forbidden 的几种原因
- Nginx工作原理和优化、漏洞
- nginx文件类型错误解析漏洞
- nginx解析漏洞 只要可以上传文件就会被黑
- Nginx下防CC和DDOS攻击
- Fastjson 爆出远程代码执行高危漏洞,更新版本已修复
- PHP的Session托管机制容易造成漏洞
- nginx(nginx+php)漏洞上传图片可入侵100万服务器
- Nginx工作原理和优化、漏洞
- [转载20131024]Nginx服务器漏洞的利用和修复方法
- 使用nginx做负载均衡造成的session共享问题
- Win7下nginx默认80端口被System占用,造成nginx启动报错的解决方案
- 微软爆出2008年最大安全漏洞
- OpenSSL爆出本年度最严重的安全漏洞heartbleed,微信第三方开发平台应第一时间升级OpenSSL
- 重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】[Openssl Heartbleed]