发布日期:2013-03-25 13:25 来源:未知 标签: nginx 攻击 漏洞
 

漏洞版本:
Igor Sysoev nginx 0.8.40
Igor Sysoev nginx 0.8.36
Igor Sysoev nginx 0.8.35
Igor Sysoev nginx 0.8.33
Igor Sysoev nginx 0.7.66
Igor Sysoev nginx 0.7.65
Igor Sysoev nginx 0.7.64
Igor Sysoev nginx 0.7.62
Igor Sysoev nginx 0.7.61

漏洞描述:
Bugtraq ID:57139
CVE ID:CVE-2011-4968

nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行

nginx包含的Http代理模块允许通过https与源服务器通信,但是没有正确校验源服务器身份,允许攻击者在代理和源服务器之间进行中间人攻击
<* 参考
http://seclists.org/oss-sec/2013/q1/11
*>

安全建议:厂商解决方案

用户可参考如下厂商提供的安全公告获得补丁信息:
http://mailman.nginx.org/pipermail/nginx-devel/2011-September/001182.html

相关评论

专题信息
    Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。