当前位置:首页 > 子站 > 信息化安全科 > 病毒预警 > 正文

关于及时升级nginx 1.3.9-1.4.0的安全公告
发布时间:2013-06-19 00:00:00   信息来源:   浏览次数:

关于及时升级nginx 1.3.9-1.4.0的安全公告

2013-05-20 17:29:28
安全公告编号:CNTA-2013-0016


5月9日,CNVD收录了nginx'ngx_http_parse.c'栈缓冲区溢出漏洞(CNVD-2013-24027,对应CVE-2013-2028),nginx (1.3.9-1.4.0版本)在解析HTTP块时ngx_http_parse_chunked()函数存在异常错误,攻击者可以利用该缺陷造成栈缓冲区溢出,轻则导致拒绝服务,且存在执行系统指令的可能。该漏洞受到了国内外安全界的广泛关注。近日,互联网上披露针对该漏洞的拒绝服务攻击代码(注1),对相关网站服务器运行安全构成威胁。此外,不排除相关安全研究者近期进一步编写出远程命令执行攻击代码的可能。

目前,nginx1.5.0、1.4.1版本已修复此漏洞,CNVD提醒采用1.3.9-1.4.0版本的用户及时进行升级或采用官方发布的补丁,避免引发漏洞相关的安全事件。CNVD也将持续关注该漏洞,后续有可能提高该漏洞的安全威胁等级。

nginx 官方发布的补丁:

http://nginx.org/download/patch.2013.chunked.txt

注1:相关代码针对CNVD-2013-24493(对应CVE-2013-2070),但实现原理对CNVD-2013-24027适用。

参考信息:

http://www.cnvd.org.cn/flaw/show/CNVD-2013-24027

http://www.cnvd.org.cn/flaw/show/CNVD-2013-24493

http://www.nsfocus.net/vulndb/23631

http://www.nsfocus.net/vulndb/23662


信息提供者:

漏洞报告文档编写:------------------------------------------------------------

CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。

在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。

如果您发现本公告存在任何问题,请与我们联系: vreport@cert.org.cn

上一篇:关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
下一篇:关于微软浏览器IE 8 CGenericElement对象内存释放重用零日漏洞的安全公告