发布日期:2013-03-25 13:31 来源:未知 标签: Nginx 文件 权限 漏洞

漏洞版本:
Igor Sysoev nginx

漏洞描述:
BUGTRAQ  ID: 58105
CVE(CAN) ID: CVE-2013-0337

nginx是一款使用非常广泛的高性能Web服务器。

在Gentoo上,/var/log/nginx全局可访问,目录内的日志文件也是全局可读,这可允许未授权用户读取日志文件。
<* 参考
http://seclists.org/oss-sec/2013/q1/424
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-0337
*>

安全建议:厂商补丁:

Igor Sysoev
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://nginx.net/

 

相关评论

专题信息
    Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。