漏洞起因
设计错误
危险等级
中
影响系统
nginx 1.2.x
不受影响系统
危害
远程攻击者可以利用漏洞访问受限资源。
攻击所需条件
攻击者必须访问nginx。
漏洞信息
nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。
在处理”location”指令定义资源的HTTP请求时存在一个错误,可被利用攻击者利用通过构建特制的包含NTFS扩展属性的HTTP请求来访问受限资源。
测试方法
厂商解决方案
nginx 1.2.1已经修复此漏洞,建议用户下载使用:
http://www.nginx.org/
漏洞提供者
Vladimir Kochetkov, Positive Research.
评论关闭。