近日,百度安全指数平台突然发布Nginx漏洞,肖凯seo博客转载并与朋友分享。Nginx(引擎x)是高性能的HTTP和反向代理服务器,也是IMAP/POP3/SMTP服务器。Nginx是Igor Thesoev为Rambler.ru(俄语:санблер)开发的,是俄罗斯第二大访问量网站。第一个公开版本于2004年10月4日发布。它以类似BSD的许可证形式发布源代码,以稳定、功能集丰富、配置文件样本多、系统资源消耗低著称。2011年6月1日,nginx 1.0.4发布。
Nginx是一个轻量级的Web服务器/反向代理服务器和电子邮件(IMAP/POP3)代理服务器,在一个类似BSD的协议下分发。它的特点是内存少,并发性强。事实上,nginx的并发性在相同类型的web服务器中确实表现良好。nginx网站在中国大陆的用户有百度、JD.COM、新浪、网易、腾讯、淘宝等。(百度百科)
漏洞描述
2017年7月11日,Nginx官方发布最新安全公告,发现Nginx范围过滤器存在安全问题(CVE-2017-7529),可能导致整数溢出,范围处理不正确,导致敏感信息泄露。
使用Nginx标准模块时,如果文件头从缓存返回响应,则允许攻击者获取缓存的文件头。在某些配置中,缓存头可能包含后端服务器的IP地址或其他敏感信息。
另外,使用第三方模块可能会导致拒绝服务。
受影响版本:Nginx 0.5.6-1.13.2
漏洞等级:中等风险
受影响网站:
安全指数分析中国互联网共有713,651个网站受影响。
修复建议
1。将Nginx升级到最新的无bug版本。这个问题在当前的1.13.3和1.12.1版本中已经修复;
2。临时方案:配置max _ ranges 1;
3、使用百度云加速WAF防火墙进行防御;
4。将网站添加到安全索引中,及时知道网站组件burst /0day漏洞。
了解详情
http://melman . nginx . org/piper mail/nginx-公告/2017/000200.html
59
59
59
59
59
59
59
59
59
59