漏洞信息详情
Nginx 权限许可和访问控制问题漏洞
- CNNVD编号:CNNVD-201305-235
- 危害等级: 中危
- CVE编号: CVE-2013-2070
- 漏洞类型: 权限许可和访问控制问题
- 发布时间: 2013-05-14
- 威胁类型: 远程
- 更新时间: 2020-11-17
- 厂 商: igor_sysoev
- 漏洞来源:
漏洞简介
NGINX是美国NGINX公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。
nginx 1.1.4至1.2.8版本和1.3.0至1.4.0版本中的http/modules/ngx_http_proxy_module.c中存在权限许可和访问控制问题漏洞。如果使用proxy_pass传送到不信任的HTTP服务器,远程攻击者可通过特制的代理响应利用该漏洞造成拒绝服务,获得工作进程内存的敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://seclists.org/oss-sec/2013/q2/315
参考网址
来源:GENTOO
链接:http://security.gentoo.org/glsa/glsa-201310-04.xml
来源:DEBIAN
链接:https://www.debian.org/security/2013/dsa-2721
来源:MISC
链接:https://bugzilla.redhat.com/show_bug.cgi?id=962525
来源:MLIST
链接:http://mailman.nginx.org/pipermail/nginx-announce/2013/000114.HTML
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2013/05/13/3
来源:SECUNIA
链接:http://secunia.com/advisories/55181
来源:MLIST
链接:http://seclists.org/oss-sec/2013/q2/291
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105950.HTML
来源:BID
链接:https://www.securityfocus.com/bid/59824
来源:MISC
链接:http://nginx.org/download/patch.2013.proxy.txt
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/84172
受影响实体
- Igor_sysoev Nginx:1.1.13
- Igor_sysoev Nginx:1.1.12
- Igor_sysoev Nginx:1.1.11
- Igor_sysoev Nginx:1.1.18
- Igor_sysoev Nginx:1.1.17
补丁
- Nginx 权限许可和访问控制问题漏洞的修复措施
评论