nginx服务器信息泄露漏洞新发现,nginx 'ngx_cpystrn()'信息泄露漏洞

最新推荐文章于 2024-01-31 15:43:35 发布
最新推荐文章于 2024-01-31 15:43:35 发布
阅读量666 收藏
点赞数
文章标签: nginx服务器信息泄露漏洞新发现

发布日期:2012-03-15

更新日期:2012-03-29

受影响系统:

Igor Sysoev nginx 1.0.9

Igor Sysoev nginx 1.0.8

Igor Sysoev nginx 1.0.10

不受影响系统:

Igor Sysoev nginx 1.1.17

Igor Sysoev nginx 1.0.14

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 52578

CVE ID: CVE-2012-1180

nginx是一款使用非常广泛的高性能web服务器。

nginx在处理上游服务器的畸形HTTP响应的实现上存在信息泄露漏洞,攻击者可利用此漏洞获取敏感信息。

建议:

--------------------------------------------------------------------------------

厂商补丁:

Igor Sysoev

-----------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

0b1331709591d260c1c78e86d0c51c18.png

lstay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ngx_security_headers:NGINX模块,用于发送安全头
05-05
ngx_security_headers 此NGINX模块以正确的方式(c)添加了安全标头,并删除了不安全的标头。概要http { security_headers on; ...} 运行curl -IL https://example.com/将产生添加的安全标头: ...
修复HTTP头信息泄露Nginx版本信息漏洞
xiaoleilei666的博客
07-01 1万+
一、问题描述 最近项目系统处于安全防护阶段;相关维护人员会通过工具扫描指定项目系统所使用的软件,判断其是否存在某些不安全的漏洞。借此机会修复漏洞以至于使系统变的更加的安全,防止对系统用户以及系统方造成相关的损失。 一般来说,软件的漏洞都与版本信息有关,隐藏版本号或者修改web服务器所用的软件名称是为了防止恶意用户利用软件漏洞进行攻击。 今天,我们就来说一下头信息泄漏nginx版本信息以及如何进行修复。 二、修复步骤 修复方法分为两种: (1)直接隐藏掉nginx的版本信息 (2)修改web服务器所使用
Nginx Web安全漏洞解决:Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露
weixin_43905458的博客
04-24 1万+
1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP头信息公开 风险级别:中风险 漏洞个数:4 漏洞详情: 端口 协议 服务 443 TCP WWW 80 TCP WWW 8000 TCP WWW 8080 TCP WWW 1.2、安全漏洞:Web服务器错误页面信息泄露 风险级别:中风险 漏洞...
HTTP 响应头 Server 泄露框架信息漏洞 处理方法
最新发布
jizhisoft的专栏
01-31 637
产生原因 应用服务器会再给浏览器的返回信息中表明自己的版本号,但这点可能会被攻击者利用,属于低危漏洞
nginx版本号泄露问题解决
听闻如故的博客
08-02 3985
nginx版本号暴露问题
nginx服务器信息泄露漏洞发现,漏洞预警 | Nginx range过滤器模块存在远程信息泄露漏洞CVE-2017-7529)...
weixin_29483277的博客
08-06 624
原标题:漏洞预警 | Nginx range过滤器模块存在远程信息泄露漏洞(CVE-2017-7529)Nginx是一款使用非常广泛的高性能Web服务器Nginx的range过滤器模块中存在安全漏洞,特制的请求可能触发整数溢出,导致泄露敏感信息。在处理HTTP range请求时,特制的Content-Range头字段参数值可以造成Nginx对range的长度计算溢出。如果这时Nginx是通过缓存...
nginx服务器信息泄露漏洞发现,Encrypt+nginx漏洞 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)...
weixin_32799203的博客
08-06 1052
根据漏洞扫描的提示查看官网给出的解释,如下:SWEET32 Mitigation (CVE-2016-2183)SWEET32 (https://sweet32.info) is an attack on older block cipher algorithms that use a block size of 64 bits. In mitigation for the SWEET32 att...
nginx限制连接数ngx_http_limit_conn_module模块1
08-08
二. ngx_http_limit_conn_module指令解释limit_conn_zone语法: limit_conn_zone $variable zo
ngx_mruby:ngx_mruby-使用脚本语言mruby for nginx的快速且高效内存的Web服务器扩展机制
04-29
文件资料什么是ngx_mruby ngx_mruby是一种使用脚本语言mruby for nginx的快速且内存高效的TCP / UDP负载平衡和Web服务器扩展机制。 ngx_mruby将提供lua-nginx-module或的替代方案。 Apache(mod_mruby),nginxngx...
ngx_dynamic_upstream:Nginx的动态上游
05-02
该指令在nginx-1.9.0-plus中可用。地位生产准备就绪。指令dynamic_upstream 句法dynamic_upstream 默认-- 语境地点现在, ngx_dynamic_upstream仅在http上下文下支持动态上游。快速开始upstream backends { zone ...
ngx_devel_kit-0.3.0
07-18
ngx_devel_kit-0.3.0
修复nginx 可通过HTTP获取远端WWW服务信息 漏洞
hryzxjh的博客
05-09 2249
在原先nginx-1.22.1目录下重编译然后把加模块的nginx执行文件复制到nginx安装目录下重启动,或者平滑升级一下就可以了。然后把编译过的nginx执行文件复制到原先的nginx安装目录下。要先停止n ginx nginx -s stop。当前版本是1.22.1编译安装的。
web漏扫问题处理1
walid的博客
05-14 1605
转载:https://www.cnblogs.com/roostinghawk/p/8427362.html 公司用绿盟科技的远程安全评估系统扫描了项目,发现一些安全隐患,记录下来,以规避以后编程或者发布时犯同样的错误。 目标web应用表单存在口令猜测攻击 风险:登录密码易被暴力破解,暴力破解是一种常见的弱口令猜测攻击方式,通过由字母、数字、字符组成的每一种不同组合进行口令猜测直到发现正确的口令。 如果登录页面对密码猜测攻击没有任何防护措施,攻击者可以采用暴力枚举的方式破解用户口令。 解决思路:阻止客户
Nginx漏洞利用与安全加固
weixin_30631587的博客
07-16 1310
本文主要分为两大部分,第一部分介绍了Nginx的一些常见安全漏洞的形成原因、利用方法,并给出了相应的解决办法;第二部分介绍了Nginx安全加固时需要关注的主要内容。 Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows等操作系统上,...
Tomcat和Nginx版本信息泄露问题
ClearLoveQ的博客
05-15 5677
一、Tomcat版本信息泄露 Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。 解决办法: 1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar进入到\org\apache\catalina\util目录下 2、编辑ServerInfo.properties文件,编辑最后三行...
常见Web源码泄漏及其利用
yy
03-27 6500
git是一个版本控制工具,可以高效便捷地管理大大小小的项目版本。通俗点来说,就是一个项目或者说工程有多个人一起干,这个项目里每个人都有可能都拿同一文件...
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
Nginx 安全漏洞
热门推荐
看着博客敲代码
12-22 1万+
Nginx 安全漏洞 漏洞引发的威胁: CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,
nginx安装ngx_http_mp4_module
05-24
要在 Nginx 中安装 ngx_http_mp4_module 模块,需要按照以下步骤进行操作: 1. 确认 Nginx 是否支持 ngx_http_mp4_module 模块 首先需要确认 Nginx 是否支持 ngx_http_mp4_module 模块,可以使用以下命令查看 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值