Nginx SPDY缓冲区溢出漏洞

最新推荐文章于 2024-04-13 03:29:24 发布

黄小二哥

最新推荐文章于 2024-04-13 03:29:24 发布

阅读量3.3k

点赞数

文章标签：运维

原文链接：http://www.cnblogs.com/security4399/p/3640554.html

版权

漏洞版本:

nginx 1.3.15
nginx 1.5.x

漏洞描述:

CVE ID:CVE-2014-0133

Nginx是HTTP及反向代理服务器，同时也用作邮件代理服务器，由Igor Sysoev编写。

nginx SPDY实现存在基于堆的缓冲区溢出，允许攻击者利用漏洞提交特殊的请求使应用程序崩溃或执行任意代码。

<* 参考

http://mailman.nginx.org/pipermail/nginx-announce/2014/000135.html
http://sebug.net/appdir/Nginx

安全建议:

nginx 1.5.12, 1.4.7版本已修复该漏洞，建议用户下载使用：
http://www.manageengine.com/products/opstor/

转载于:https://www.cnblogs.com/security4399/p/3640554.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

黄小二哥

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Nginx SPDY patch实现

可乐爱上咖啡

07-14

8129

前不久Nginx官方放出了SPDY的patch，到目前为止都还未合并进nginx源码，主要还是由于此patch还远不成熟，代码和功能都还不足够完善。个人感觉spdy patch合并进nginx源码还有些时日。本文是基于目前的patch，初窥一下nginx官方是如何在实现spdy。上图是nginx处理一个请求的大致流程，这里只是绘制了简单的模型，实际过程还是相当的复杂的。图中

安全测试-- WEB 实战

Qton_CSDN的博客

02-27

3324

增：XSS、文件上传get shell 删：越权查：sql注入、越权改：XSS、越权好也可以用wvs先扫根据报告找漏洞的点一端口信息收集 kali : nmap -A -T4 192.168.1.35 端口信息收集端口信息收集资料问题：端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的...

参与评论您还未登录，请先登录后发表或查看评论

堆溢出攻击教程（heap overflow attack）

05-12

堆溢出攻击教程（heap overflow attack）

nginx SPDY 堆缓冲区溢出

山兔的博客

05-13

1322

nginx SPDY实现存在基于堆的缓冲区溢出，允许攻击者利用漏洞提交特殊的请求使应用程序崩溃或执行任意代码。

nginx安全加固,设置缓冲区，防止溢出

weixin_69899223的博客

06-10

1783

nginx安全加固,设置缓冲区，防止溢出

什么是缓冲区溢出？NGINX是如何防止缓冲区溢出攻击的？

越努力越幸运。

01-26

505

缓冲区溢出（Buffer Overflow）是一种常见的安全漏洞，它发生在程序试图向一个缓冲区写入超出其预分配大小的数据时。这可能导致数据覆盖了相邻的内存区域，可能破坏程序的执行流程，甚至可以被恶意攻击者利用来执行恶意代码。尽管NGINX采取了许多安全措施来防止缓冲区溢出攻击，但作为用户，你也应该始终保持NGINX和其他软件的最新版本，以获取最新的安全修复，并采取额外的安全措施来保护服务器和应用程序。

nginx 'ngx_http_parse.c' 栈缓冲区溢出漏洞

weixin_30608131的博客

05-15

196

漏洞名称： nginx 'ngx_http_parse.c' 栈缓冲区溢出漏洞 CNNVD编号： CNNVD-201305-143 发布时间： 2013-05-14 更新时间： 2013-05-14 危害等级：漏洞类型： 缓冲区溢出 威胁类型：远程 CVE编号： CV...

Nginx安装部署与配置管理

最新发布

2401_83974607的博客

04-13

543

由于这是一个历史上的漏洞，如果你现在正在使用的 Elasticsearch 是最新的稳定版本，那么你应该已经不受此漏洞的影响。不过，仍然建议定期更新你的 Elasticsearch 实例以获取最新的安全修复和其他改进。

CVE-2014-4113的POC

04-18

这是windows内核提权漏洞的一个POC，用来帮助分析理解漏洞原理。

nginx漏洞复现（包含nginx的介绍，配置，访问控制等内容），是较全的nginx学习！

m0_67284865的博客

08-16

7578

这篇文章包含nginx的介绍与配置，其中包含访问控制的安全，有漏洞复现案例：Nginx 文件名逻辑漏洞（CVE-2013-4547）Nginx越界读取缓存漏洞（CVE-2017-7529）Nginx 配置错误导致漏洞 Nginx 解析漏洞复现

学习笔记(10):高并发下的Nginx性能优化实战-Nginx负载均衡（三）

qq_40152865的博客

02-07

174

高并发下的Nginx性能优化实战、解读Nginx的核心知识、掌握nginx核心原理？通过本期课程将解答我们的疑惑。

Nginx源码阅读笔记-内存池的设计

weixin_33701564的博客

02-14

101

2019独角兽企业重金招聘Python工程师标准>>> ...

SPDY介绍

jlusomeday1979的专栏

03-30

830

n SPDY协议与HTTP长连接、pipeline相比，只有在以下情况下有加载速度的优势 Ø round trip很长的网络中(尤其是长肥管道中)(推送) Ø HTTP请求非常多的页面(管道迅速warmup以及支持头部压缩) Ø 部分HTTP请求会被阻塞的情况下(分优先级) n SPDY利用X-Associated-Content 协议头直接将页面中的资源文件推送到浏览器缓

SPDY协议

zqjflash的专栏

11-08

5749

SPDY接入服务概述 SPDY是Google开发的下一代网络协议，它并不是一种用于替代HTTP的协议，而是对HTTP协议的增强。谷歌表示，引入SPDY协议后，在实验室测试中页面加载速度比原先快64%，并且应用到Gmail中，目前业界支持SPDY的服务器有Netty和Nginx。SPDY增加了一个帧层用于多路复用，多个并发流通过一个TCP连接（或者其他可靠传输流）。这个帧层为类似HTTP的请求响应

SPDY：下一代网络传输协议

gitblog_00010的博客

03-16

595

SPDY：下一代网络传输协议项目简介 SPDY 是一种由 Google 开发的新型网络传输协议，旨在提高 Web 应用程序的性能和安全性。它在 HTTP/1.x 协议的基础上进行了改进，引入了多路复用、压缩头部和优先级等特性，从而减少了页面加载时间并降低了延迟。功能及应用场景 SPDY 可以广泛应用于各种 Web 应用场景中，特别是需要快速响应和高并发的场合。通过使用 SPDY，开发者可以实现...

CVE-2014-4113漏洞利用过程分析

weixin_33888907的博客

03-08

943

cssembly · 2014/10/24 14:130x00 简介通过VMware和Windbg搭建32位内核调试环境，系统为xp sp2，执行漏洞利用程序win32.exe calc.exe，弹出了一个SYSTEM权限的calc。通过IDA分析win32.exe，可以看到signed int __cdecl sub_4010F2()函数通过调用ZwQuerySystemInformation泄...

CWE-122: Heap-based Buffer Overflow（堆缓冲区溢出）

plstudio1的博客

03-23

1256

ID: 122 类型：变量结构：简单状态：草稿描述堆溢出是缓冲区溢出的一种情形，分配到内存的堆部分的缓冲区被覆盖的，通常意味着缓冲区是使用malloc（）等函数分配的内存。相关视图与“研究层面”视图(CWE-1000)相关与“开发层面”视图(CWE-699)相关引入模式阶段 ...

nginx缓冲区溢出

12-06

nginx缓冲区溢出是指nginx服务器在处理大量请求时，由于缓冲区设置不当，导致缓冲区无法容纳所有的请求头信息，从而导致请求被拒绝或服务器崩溃。为了避免这种情况的发生，可以通过调整nginx的缓冲区大小来解决。 ...