parse.c'栈缓冲区溢出漏洞

发布日期:2013-05-07
更新日期:2013-05-08

受影响系统:
Nginx Nginx 1.4.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59699
 CVE(CAN) ID: CVE-2013-2028
 
nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器。
 
nginx 1.3.9 - 1.4.0在解析HTTP块时,"ngx_http_parse_chunked()"函数 (http/ngx_http_parse.c)中存在错误,可被利用造成栈缓冲区溢出。
 
<*来源:Greg MacManus
 
  链接:
       
       
 *>

建议:
--------------------------------------------------------------------------------
临时解决方法:
 
NSFOCUS建议您升级到nginx 1.4.1。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
 
* 在每个server{}块中使用如下配置
 
if ($http_transfer_encoding ~* chunked) {
        return 444;
    }
 
厂商补丁:
 
Nginx
 -----
 Nginx已经为此发布了一个安全公告(security_advisories)以及相应补丁:
 security_advisories:nginx security advisories
 链接:
 
补丁下载:

Nginx 的详细介绍请点这里
Nginx 的下载地址请点这里

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/pssww.html