关于及时升级nginx 1.3.9-1.4.0的安全公告

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

考研的包子 · nginx之"/"结尾 - 凯-子 - 博客园· 10 分钟前 ·

坏坏的茴香 · nginx ...· 10 分钟前 ·

魁梧的黑框眼镜 · Nginx服务器屏蔽与禁止屏蔽网络爬虫的方法 ...· 4 天前 ·

淡定的匕首 · Nginx location 匹配顺序整理 ...· 4 天前 ·

小眼睛的大葱 · linux使用记录笔记 | 豌豆荚博客· 1 周前 ·

沉着的生菜 · FileProvider added ...· 2 周前 ·

淡定的枇杷 · Need help saving Data ...· 1 月前 ·

读研的山楂 · 5.2. Source-to-Image ...· 2 月前 ·

很酷的墨镜 · 日本猫咪站长迎来“部下” ...· 2 月前 ·

玩命的海豚 · 侯建彬的“撒钱推广”和作业帮产品及营销的“争 ...· 3 月前 ·

发布时间：2013-05-22 浏览次数： 157

5月9日，CNVD收录了nginx 'ngx_http_parse.c'栈缓冲区溢出漏洞（CNVD-2013-24027，对应CVE-2013-2028），nginx （1.3.9-1.4.0版本）在解析HTTP块时ngx_http_parse_chunked()函数存在异常错误，攻击者可以利用该缺陷造成栈缓冲区溢出，轻则导致拒绝服务，且存在执行系统指令的可能。该漏洞受到了国内外安全界的广泛关注。近日，互联网上披露针对该漏洞的拒绝服务攻击代码(注1)，对相关网站服务器运行安全构成威胁。此外，不排除相关安全研究者近期进一步编写出远程命令执行攻击代码的可能。

目前，nginx 1.5.0、1.4.1版本已修复此漏洞，CNVD提醒采用1.3.9-1.4.0版本的用户及时进行升级或采用官方发布的补丁，避免引发漏洞相关的安全事件。CNVD也将持续关注该漏洞，后续有可能提高该漏洞的安全威胁等级。

nginx 官方发布的补丁：

http://nginx.org/download/patch.2013.chunked.txt

注1：相关代码针对CNVD-2013-24493（对应CVE-2013-2070），但实现原理对CNVD-2013-24027适用。

参考信息： http://www.cnvd.org.cn/flaw/show/CNVD-2013-24027

http://www.cnvd.org.cn/flaw/show/CNVD-2013-24493

http://www.nsfocus.net/vulndb/23631

http://www.nsfocus.net/vulndb/23662

推荐文章

考研的包子 · nginx之"/"结尾 - 凯-子 - 博客园

10 分钟前

坏坏的茴香 · nginx location中斜线的位置的区别 - 自然洒脱 - 博客园

10 分钟前

魁梧的黑框眼镜 · Nginx服务器屏蔽与禁止屏蔽网络爬虫的方法-网络知识

4 天前

淡定的匕首 · Nginx location 匹配顺序整理 - fan-tastic - 博客园

4 天前

小眼睛的大葱 · linux使用记录笔记 | 豌豆荚博客

1 周前

沉着的生菜 · FileProvider added via AndroidManifest.xml prevents my app from running - Unity Engine - Unity Discu

2 周前

淡定的枇杷 · Need help saving Data in csv file - Python Help - Discussions on Python.org

1 月前

读研的山楂 · 5.2. Source-to-Image (S2I) 构建 | Red Hat Product Documentation

2 月前

很酷的墨镜 · 日本猫咪站长迎来“部下” 猫咪“四玉”成见习站长 - 中国日报网

2 月前

玩命的海豚 · 侯建彬的“撒钱推广”和作业帮产品及营销的“争议之路”

3 月前