linux nginx漏洞修复,Nginx 安全漏洞 (CVE-2013-4547)

最新推荐文章于 2024-07-04 09:20:35 发布
最新推荐文章于 2024-07-04 09:20:35 发布
阅读量453 收藏
点赞数
文章标签: linux nginx漏洞修复

这是来自 Nginx 邮件列表的内容:

Nginx 的安全限制可能会被某些请求给忽略,(CVE-2013-4547).

当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:

location /protected/ {

deny all;

}

当请求的是 "/foo /../protected/file" 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:

location ~ \.php$ {

fastcgi_pass ...

}

当我们请求 "/file \0.php" 时就会绕过限制。

该问题影响 nginx 0.8.41 - 1.5.6.

该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。

补丁程序在:

http://nginx.org/download/patch.2013.space.txt

配置上临时的解决办法是:

if ($request_uri ~ " ") {

return 444;

}

推荐阅读:

Nginx做负载均衡报:nginx: [emerg] could not build the types_hash http://www.linuxidc.com/Linux/2013-10/92063.htm

Nginx 的详细介绍:请点这里

Nginx 的下载地址:请点这里0b1331709591d260c1c78e86d0c51c18.png

weixin_39522423
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本nginx1.4.0源码
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
网络安全最新nginx网站安全漏洞修复,2024年最新快速从入门到精通
2401_84544495的博客
05-10 600
2⃣️ 在nginx的http,server或者location中。我是添加到响应的server中的。3⃣️ 检验是否添加成功,在网站中再次访问查看是否含有该响应头,若没有,则清除浏览器缓存再次访问。一般配置正确重新加载配置就会看到该响应头。判断标准:检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞。判断标准: 检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞
nginx web漏洞修复
c1osed_123的博客
06-18 244
检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失。检测到目标 Strict-Transport-Security响应头缺失。检测到目标 Content-Security-Policy响应头缺失。检测到目标X-Content-Type-Options响应头缺失。检测到目标 X-Download-Options响应头缺失。检测到目标 X-XSS-Protection响应头缺失。检测到目标 Referrer-Policy响应头缺失。X-Frame-Options头未设置。
nginx平滑升级解决 nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372)
热门推荐
weixin_44460932的博客
06-14 1万+
关于漏洞扫描nginx安全漏洞修复。 服务器漏洞扫描中扫出了nginx安全漏洞nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372),受影响版本为0.6.18-1.20.0;给出解决办法为升级补丁修复,由于漏洞较多考虑平滑升级。 官方下载渠道下载1.20.0以上版本linux。下载地址: http://nginx.org/en/download.html 我使用的服务器是linux系统,推荐下载官网Stable version的1.22.0版
linux nginx漏洞修复,Canonical解决了一个Ubuntu 14.04 LTS中的Nginx漏洞
weixin_32322859的博客
05-15 194
用户应该更新他们的系统来修复这个漏洞!Canonical已经在安全公告中公布了这个影响到Ubuntu 14.04 LTS (Trusty Tahr)的nginx漏洞的细节。这个问题已经被确定并被修复了Ubuntu的开发者已经修复nginx的一个小漏洞。他们解释nginx可能已经被利用来暴露网络上的敏感信息。根据安全公告,“Antoine Delignat-Lavaud和Karthikeyan B...
nginx安装升级修复HTTP头信息泄露Nginx版本信息漏洞(并保持https配置)
最新发布
whs15193553607的博客
07-04 572
(1)进入安装包目录:/home/nginx1.16.1。 (2)将nginx包拷贝到服务器并解压(# 解压到当前目录下tar -zxvf 资源包) (3)备份服务器nginx.conf文件、ssl证书文件
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
Nginx 1.13.3 版本强调了安全稳定,这意味着它已经修复了之前版本可能存在的已知安全漏洞。信息泄漏漏洞是网络服务中的常见问题,可能导致敏感数据暴露,威胁到用户隐私和系统的整体安全性。在 Nginx 1.13.3 中,...
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
Nginx 1.4.0 版本中,存在一个名为 CVE-2013-2028 的安全漏洞,这个漏洞允许攻击者通过精心构造的请求来执行任意代码,从而对服务器造成严重威胁。 **CVE-2013-2028 漏洞详解** CVE-2013-2028 是一个基于堆栈的...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
linux -nginx 1.20.2
04-15
linux -nginx 1.20.2
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
linux遍历目录漏洞修复,Nginx配置错误目录遍历漏洞
weixin_35640673的博客
05-11 471
发布日期:2011-12-26更新日期:2012-01-05受影响系统:Nginx Nginx 1.1.10描述:--------------------------------------------------------------------------------nginx是一款使用非常广泛的高性能web服务器。nginx的某些配置方式存在错误,可被远程攻击者利用造成目录遍历。建议:--...
修复Nginx安全漏洞(CVE-2019-9516)
qq_32202099的博客
01-08 1万+
修复Nginx安全漏洞(CVE-2019-9516) 近日客户在进行安全扫描时检测出Nginx安全漏洞,简单记录下这次安全漏洞的升级过程。 客户给文档如图: 先按照修补建议去获取补丁 查看官方建议,需要将nginx进行升级到1.17.3,下载地址:http://nginx.org/download/ 将下载好的nginx上传到服务器上,解压 tar -zxvf nginx-1.17.3.tar.gz 以为项目正在运行,因此这次升级需要在不影响业务系统情况下进行平滑升级 因为前期部署Nginx是直接
CVE-2013-4547
FNjoker的博客
08-04 770
CVE-2013-4547 漏洞描述 CVE-2013-4547Nginx文件名逻辑漏洞,在正常情况下(关闭 pathinfo 的情况下),只有.php 后缀的文件才会被发送给 fastcgi 解析。而如果空格和零截断符相邻的话ngin就不会检测到零截断并放回错误了,这是一个逻辑漏洞,所以通过这种方式我们就可以在URI中使用零截断,这就是CVE-2013-4547漏洞利用演示 这是vulhub的一个漏洞靶场,有一个文件上传的接口的。 从源代码中可以看到,这是一个基于黑名单的验证机制,直接上传.ph
Ingress Nginx 接连披露高危安全漏洞,是否有更好的选择?
阿里巴巴云原生的博客
08-07 1008
在《K8s 网关选型初判:Nginx 还是 Envoy》一文中,我们已经给出了这个新的选项:MSE 云原生网关。本文继续展开分析,为何 MSE 云原生网关有更好的安全性保障。
Nginx 文件名逻辑漏洞CVE-2013-4547漏洞复现
鸥鹭忘机
10-03 4100
前言 影响版本Nginx 0.8.41 到 1.4.3 / 1.5.0 到 1.5.7。 利用条件:php-fpm.conf中的security.limit_extensions为空。 建议在学习该漏洞前先学习nginx的原理:https://zhuanlan.zhihu.com/p/136801555。 security.limit_extensions设置了就只能解析指定后缀的文件,为空可以解析所有后缀文件。 漏洞原理 首先来看nginx解析php文件的配置信息: location ~ \.php
nginx安全漏洞(CVE-2021-23017)如何修复
04-19
对于这个问题,我可以为您提供以下的修复措施: 1.升级Nginx版本:在新版本中,开发团队已经...需要注意的是,修复安全漏洞需要谨慎,建议您在实施修复措施之前,先备份好当前的配置文件和数据,以防出现意外情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值