• 我的位置:
  • 首頁(yè)
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • 【漏洞公告】Nginx/OpenResty目錄穿越漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 中危 
    • CVE編號(hào):未知
    • 漏洞類(lèi)型: 目錄穿越
    • 威脅類(lèi)型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來(lái)源:未知
    • 發(fā)布時(shí)間:2020-09-11
    • 更新時(shí)間:2020-12-11

    漏洞簡(jiǎn)介

    Nginx是一款輕量級(jí)的Web 服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器,在BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少,并發(fā)能力強(qiáng),且nginx的并發(fā)能力在同類(lèi)型的網(wǎng)頁(yè)服務(wù)器中表現(xiàn)也較好。

    OpenResty又被稱(chēng)為ngx_openresty,是基于Nginx的核心Web應(yīng)用程序服務(wù)器。OpenResty通過(guò)匯聚各種設(shè)計(jì)精良的Nginx模塊,從而將Nginx有效地變成一個(gè)強(qiáng)大的通用Web應(yīng)用平臺(tái),其的目標(biāo)是讓W(xué)eb服務(wù)直接運(yùn)行在Nginx服務(wù)內(nèi)部,充分利用Nginx的非堵塞I/O模型,不僅對(duì)HTTP客戶(hù)端請(qǐng)求,甚至對(duì)遠(yuǎn)程后端DB都進(jìn)行一系列的高性能響應(yīng)。

    漏洞公示

    Nginx是一款輕量級(jí)的Web 服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器,在BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少,并發(fā)能力強(qiáng),且nginx的并發(fā)能力在同類(lèi)型的網(wǎng)頁(yè)服務(wù)器中表現(xiàn)也較好。

    OpenResty又被稱(chēng)為ngx_openresty,是基于Nginx的核心Web應(yīng)用程序服務(wù)器。OpenResty通過(guò)匯聚各種設(shè)計(jì)精良的Nginx模塊,從而將Nginx有效地變成一個(gè)強(qiáng)大的通用Web應(yīng)用平臺(tái),其的目標(biāo)是讓W(xué)eb服務(wù)直接運(yùn)行在Nginx服務(wù)內(nèi)部,充分利用Nginx的非堵塞I/O模型,不僅對(duì)HTTP客戶(hù)端請(qǐng)求,甚至對(duì)遠(yuǎn)程后端DB都進(jìn)行一系列的高性能響應(yīng)。

    受影響實(shí)體

    暫無(wú)

    補(bǔ)丁

    1、修復(fù)建議

    1. Nginx官方已發(fā)布修復(fù)版本,用戶(hù)需要更新到 v1.17.9 (commit a5895eb502747f396d3901a948834cd87d5fb0c3)

    2. OpenResty 用戶(hù)需要排查Nginx配置文件中 rewrite 以及 ngx.req.set_uri,建議在不是必須使用的情況下,臨時(shí)禁用相關(guān)配置。


    2、 深信服解決方案

    深信服下一代防火墻】可輕松防御此漏洞,建議部署深信服下一代防火墻的用戶(hù)開(kāi)啟安全防護(hù)規(guī)則,可輕松抵御此高危風(fēng)險(xiǎn)。

    深信服云盾】已第一時(shí)間從云端自動(dòng)更新防護(hù)規(guī)則,云盾用戶(hù)無(wú)需操作,即可輕松、快速防御此高危風(fēng)險(xiǎn)。

    深信服安全感知平臺(tái)】可檢測(cè)利用該漏洞的攻擊,實(shí)時(shí)告警,并可聯(lián)動(dòng)【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對(duì)攻擊者ip的封堵。

    深信服安全運(yùn)營(yíng)服務(wù)】深信服云端安全專(zhuān)家提供7*24小時(shí)持續(xù)的安全運(yùn)營(yíng)服務(wù)。在漏洞爆發(fā)之初,對(duì)存在漏洞的用戶(hù),檢查并更新了客戶(hù)防護(hù)設(shè)備的策略,確保客戶(hù)防護(hù)設(shè)備可以防御此漏洞風(fēng)險(xiǎn)。