首页 -> 安全研究

安全研究

安全漏洞
nginx URI处理安全限制绕过漏洞(CVE-2013-4547)

发布日期:2013-11-19
更新日期:2013-11-21

受影响系统:
Igor Sysoev nginx < 1.5.7
Igor Sysoev nginx < 1.4.4
描述:
BUGTRAQ  ID: 63814
CVE(CAN) ID: CVE-2013-4547

Nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。

nginx 0.8.41-1.5.6验证包含未转义空间字符的URI时,在实现上存在远程安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

<*来源:Ivan Fratric (ifsecure@gmail.com
  
  链接:http://secunia.com/advisories/55757/
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

/file \0.php

建议:
厂商补丁:

Igor Sysoev
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://nginx.org/en/download.html
http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.htm

浏览次数:4473
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障