首页 > 动态 > 关键词  > nginx漏洞最新资讯  > 正文

nginx爆出新漏洞 最低限度可造成Dos攻击

2013-05-09 17:36 · 稿源:站长之家

站长之家(chinaz.com) 5月9日消息:国内网络安全服务商绿盟科技称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。

nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚至执行任意代码。

解决方法:

绿盟科技建议站长升级到nginx 1.4.1或nginx 1.5.0。

但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:

* 在nginx配置文件中的每个server{}块中使用如下配置

if ($http_transfer_encoding ~* chunked) {

return 444;

}

未受影响版本:

nginx 1.5.0

nginx 1.4.1

官方公告和补丁:

链接:https://nginx.org/en/security_advisories.html

源码补丁下载:https://nginx.org/download/patch.2013.chunked.txt

  • 相关推荐
  • 大家在看
  • 暴雪战短暂宕机 目前已从DDoS攻击中恢复

    暴雪刚刚宣布,通过瞬发流量搞垮战网(Battle.net)服务器的分布式拒绝服务(DDoS)攻击已经结束。此前无法登录《使命召唤:战区》、《守望先锋》、《炉石传说》、《暗黑破坏神》等游戏的玩家,现在应该已经能够重新连线。

  • Cloudflare成功拦截了一次带宽高达2Tbps的大型DDoS攻击

    Cloudflare表示,它已经成功阻止了一次分布式拒绝服务(DDoS)攻击,其峰值略低于2Tbps,成为有史以来最大的被攻击记录之一。这家互联网公司在一篇博文中说,这次攻击是由大约15000个机器人发起的,它们在被利用的物联网(IoT)设备和未打补丁的GitLab实例上运行原始Mirai代码的变种。这次DDoS攻击发生在安全机构Rapid7警告GitLab漏洞(在CVSS严重程度上被评为满分10.0)仅两周后,该漏洞就已经被外部利用,允许掌握它的攻击者在受

  • ESET:黑客借中东新闻网站对目标访客发起攻击

    经历了持续一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知,一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道,而攻击者的最终目标却是网站访客。伊朗驻阿布扎比大使馆网站的脚本注入据悉,这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月,期间波及大约 20 个网站,同时导致不少访客中招。具体说来是,攻击者利用了所谓的“

  • 苹果概述如何向遭受间谍软件攻击的客户发送通报

    早些时候,苹果已宣布对 Pegasus 间谍软件开发商 NSO Group 提起诉讼。可知该间谍软件会尝试利用 iOS 和其它平台的相关漏洞来渗透目标用户的设备,且已被用于全球多地的监视活动。与此同时,作为安全公告的一部分,苹果披露该公司正在“参照行业最佳实践”,向“少数用户”主动发去安全通报。(来自:Apple Support)在一份新分享的支持文件中,苹果概述了该公司是如何向这批疑似遭受 PegASUS 间谍软件攻击的用户发去安全通报的。?

  • 故宫年票今11时30分恢复销售 此前遭网络攻击

    今早,据故宫博物院发布公告,经过排查修复,故宫博物院年票销售系统已完成修复,对已经发现的网络攻击也加强了安全防范,年票销售将于12月2日上午11时30分恢复销售。

  • 报告:医院处于网络攻击的高风险中,但患者没有意识到

    俄亥俄州朴茨茅斯的一家非营利性医院--南方俄亥俄医疗中心在当地时间周四遭到网络攻击后取消了今日(当地时间 1月12日)的预约并将救护车改道行驶。这是过去两年中对医疗机构一系列不断升级的攻击的一部分--这一趋势可能对病人护理产生严重后果。但根据网络安全公司Armis的一份新报告,虽然信息技术专家清楚地意识到损害病人数据和关闭计算机系统的网络攻击的风险正在上升,但病人似乎并不清楚。事实上,在新报告中接受调查的公众?

  • 微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣

    根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。"我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,"微软的安全研究员罗斯·贝文顿说。"77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。"他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的

  • Google翻译系统出现恶毒攻击中国词汇 官方:问题已解决

    【TechWeb】11月27日消息,针对网友晒出的谷歌翻译中出现的恶毒攻击中国的翻译结果事件,谷歌通过其官方微博发声,称:目前问题已经解决。Google方面表示,Google翻译是一个自动翻译器,通过数百万已有翻译的模式为用户找到最佳翻译,然而,有些模式会导致错误的翻译。我们一经发现,就立刻着手修复了这一问题。昨天,陆续有网友曝光在使用谷歌翻译时输入“艾滋病国家”,谷歌翻译中会显示为“中华人民共和国”;输入“艾滋病人”?

  • 女性角色受攻击吐舌Bug!易《哈利波特:魔法觉醒》再致歉

    11月21日消息,今日,网易热门手游《哈利波特:魔法觉醒》官方就女性角色模型”Bug一事再次向玩家致歉,同时发长文对此事进行复盘。对于女性模型角色为什么会出现吐舌头的Bug,为什么男生模型不会出现这个Bug?的问题,官方表示,绑定与穿模导致,男性角色也一样会出现这个Bug。但同样,最终效果没有把控好是我们的问题,我们会进行整体优化修复,也为给大家带来了负面感受再次致歉。官方称,经过多次排查和复盘,没有发现归属于个

  • 洛杉矶计划生育协会遭勒索攻击 数十万患者个人信息被泄露

    援引《华盛顿邮报》报道,发生于今年 10 月的勒索软件攻击中,黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中,计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息,如诊断、手术和/或处方信息。计划生育协会表示,该机构网络是在 10 月 9-17 日之间感染勒索软件的。17日,该组织注意到了这一入侵,将其系统下线,并联系了执法部门和网络安全调查人员。据 CNN 报

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天