Nginx Naxsi模块'nx_extract.py'脚本远程文件泄露漏洞

发布日期:2013-03-25 13:20 来源:未知 标签: Nginx 模块 脚本 远程 文件 泄露 漏洞
 

漏洞版本:
Naxsi 0.x

漏洞描述:Naxsi是一款用于nginx的防火墙模块

naxsi-ui/ nx_extract.py没有校验用于读取文件的部分输入,允许攻击者利用目录遍历漏洞以WEB权限读取系统任意文件内容
<* 参考
http://secunia.com/advisories/49811/
*>
安全建议:厂商解决方案

Naxsi 0.46-1已经修复此漏洞,建议用户下载使用:
http://code.google.com/p/naxsi/

相关评论

专题信息
    Niginx安全
    Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。
推荐专题