Форум Сайтостроение Администрирование серверов

nginx - довольно неприятная уязвимость

P
На сайте с 08.03.2007
Offline
250
Pilat
1103

http://habrahabr.ru/post/202796/

http://mailman.nginx.org/pipermail/nginx-ru/2013-November/052575.html

На самом nginx.ru информации практически нет (CVE-2013-4547 пока неактивно), кроме сообщения о существовании уязвимости, поэтому остаётся верить вышеперечисленным ссылкам. Опасность уязвимости пока непонятна, скорее всего популярные движки её не воспроизводят, а вот самописные вполне могут.

Патч есть, обновления выпущены, workaround тоже есть:

if ($request_uri ~ " ") {
return 444;
}
Блог (http://www.pilat66.ru/)
K
На сайте с 29.02.2008
Offline
116
kdj
#1
Pilat:
http://habrahabr.ru/post/202796/
...скорее всего популярные движки её не воспроизводят, а вот самописные вполне могут.

Причем тут тип движка? Уязвимость на сервере и зависит она от конфига нгинкса.

ngsv
На сайте с 12.10.2012
Offline
47
ngsv
#2
kdj:
Уязвимость на сервере и зависит она от конфига нгинкса.

Уязвимость зависит от уровня криворукости сис админов и программистов...

SIQWELL (http://siqwell.com/) - Быстро. Качественно. Дорого.
iHead
На сайте с 25.04.2008
Offline
137
iHead
#3

ну так обновитесь :)

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)
Z
На сайте с 06.09.2012
Offline
129
zzzit
#4

Еще вчера накатал патч на 1.2, nginx своими уязвимостями уже поднадоел, если честно.

Черный список врунов и обманщиков: ua-hosting.company, riaas.ru, takewyn.ru, yahoster/cadedic, Andreylab
P
На сайте с 08.03.2007
Offline
250
Pilat
#5
kdj:
Причем тут тип движка? Уязвимость на сервере и зависит она от конфига нгинкса.

Например сохранять файлы можно с тем именем, которое указал пользователь, а можно со случайным именем, тогда уязвимость не проявится. Ну и так далее - популярные движки сталкиваются с проблемами постоянно и постоянно эти проблемы учатся решать даже на уязвимом софте.

Левые беки в Яндекс.Вебмастер Как проверить работу хостинга Взломали сайты - что
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#6
zzzit:
Еще вчера накатал патч на 1.2, nginx своими уязвимостями уже поднадоел, если честно.

Ну так не пользуйтесь им, пользуйтесь apache, в нем дыр нет. 🍿

Не стоит плодить сущности без необходимости

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий