漏洞信息详情
Nginx 缓冲区错误漏洞
- CNNVD编号:CNNVD-200909-302
- 危害等级: 高危
- CVE编号: CVE-2009-2629
- 漏洞类型: 缓冲区错误
- 发布时间: 2009-09-15
- 威胁类型: 远程
- 更新时间: 2020-11-17
- 厂 商: nginx
- 漏洞来源: Chris Ries
漏洞简介
nginx是由俄罗斯的程序设计师Igor Sysoev所开发的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
nginx的ngx_http_parse_complex_uri()函数在处理特制的URI时存在整数下溢漏洞,远程攻击者可以通过向服务器提交恶意请求导致所分配缓冲区之前的内存位置写入URI中所包含的数据。
nginx设计为以单个特权主进程运行,多个非特权的worker进程处理特定的请求,因此成功利用这个漏洞可能导致以worker进程的权限执行任意指令或worker进程崩溃。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://nginx.net/CHANGES
参考网址
来源:FEDORA
链接:https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00442.HTML
来源:CONFIRM
链接:http://nginx.net/CHANGES-0.7
来源:CERT-VN
链接:http://www.kb.cert.org/vuls/id/180065
来源:CONFIRM
链接:http://nginx.net/CHANGES-0.5
来源:CONFIRM
链接:http://nginx.net/CHANGES-0.6
来源:FEDORA
链接:https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00428.HTML
来源:CONFIRM
链接:http://sysoev.ru/nginx/patch.180065.txt
来源:DEBIAN
链接:https://www.debian.org/security/2009/dsa-1884
来源:FEDORA
链接:https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00449.HTML
受影响实体
- Nginx Nginx:0.1.1
- Nginx Nginx:0.1.2
- Nginx Nginx:0.1.3
- Nginx Nginx:0.1.4
- Nginx Nginx:0.1.5
补丁
暂无
评论