- 主题:nginx漏洞公告
问题版本:此漏洞存在于nginx-0.1.0至2009年9月14号前发布的nginx任何版本。
漏洞详情:9月14号发现了一个缓冲区溢出漏洞,此漏洞会导致nginx的worker进程 crash,从而可以制造dos攻击。
解决方案:patch或更新nginx到9月14日发布的最新版本,分别为0.5.38、0.6.39、0.7.62和0.8.15。
相关URL:
http://www.kb.cert.org/vuls/id/180065
http://www.nginx.net/
patch:
Index: src/http/ngx_http_parse.c
===================================================================
--- src/http/ngx_http_parse.c (revision 2410)
+++ src/http/ngx_http_parse.c (revision 2411)
@@ -1134,11 +1134,15 @@
#endif
case '/':
state = sw_slash;
- u -= 4;
- if (u < r->uri.data) {
- return NGX_HTTP_PARSE_INVALID_REQUEST;
- }
- while (*(u - 1) != '/') {
+ u -= 5;
+ for ( ;; ) {
+ if (u < r->uri.data) {
+ return NGX_HTTP_PARSE_INVALID_REQUEST;
+ }
+ if (*u == '/') {
+ u++;
+ break;
+ }
u--;
}
break;
--
修改:KDr2 FROM 211.103.143.*
FROM 211.103.143.*
re
不过好像没发现exploit
【 在 KDr2 (R2D2) 的大作中提到: 】
: 问题版本:此漏洞存在于nginx-0.1.0至2009年9月14号前发布的nginx任何版本。
: 漏洞详情:9月14号发现了一个缓冲区溢出漏洞,此漏洞会导致nginx的worker进程 crash,从而可以制造dos攻击。
: 解决方案:patch或更新nginx到9月14日发布的最新版本,分别为0.5.38、0.6.39、0.7.62和0.8.15。
: ...................
--
FROM 123.120.11.*
自己也可以写个
【 在 suchasplus (誓死捍卫NAZI) 的大作中提到: 】
: re
: 不过好像没发现exploit
--
FROM 123.123.157.*