• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 中間件
  • -
    • 【漏洞公告】Nginx/OpenResty目錄穿越漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:未知
    • 漏洞類型: 目錄穿越
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:未知
    • 發(fā)布時間:2020-09-11
    • 更新時間:2020-12-11

    漏洞簡介

    Nginx是一款輕量級的Web 服務器/反向代理服務器及電子郵件(IMAP/POP3)代理服務器,在BSD-like 協(xié)議下發(fā)行。其特點是占有內存少,并發(fā)能力強,且nginx的并發(fā)能力在同類型的網頁服務器中表現也較好。

    OpenResty又被稱為ngx_openresty,是基于Nginx的核心Web應用程序服務器。OpenResty通過匯聚各種設計精良的Nginx模塊,從而將Nginx有效地變成一個強大的通用Web應用平臺,其的目標是讓Web服務直接運行在Nginx服務內部,充分利用Nginx的非堵塞I/O模型,不僅對HTTP客戶端請求,甚至對遠程后端DB都進行一系列的高性能響應。

    漏洞公示

    Nginx是一款輕量級的Web 服務器/反向代理服務器及電子郵件(IMAP/POP3)代理服務器,在BSD-like 協(xié)議下發(fā)行。其特點是占有內存少,并發(fā)能力強,且nginx的并發(fā)能力在同類型的網頁服務器中表現也較好。

    OpenResty又被稱為ngx_openresty,是基于Nginx的核心Web應用程序服務器。OpenResty通過匯聚各種設計精良的Nginx模塊,從而將Nginx有效地變成一個強大的通用Web應用平臺,其的目標是讓Web服務直接運行在Nginx服務內部,充分利用Nginx的非堵塞I/O模型,不僅對HTTP客戶端請求,甚至對遠程后端DB都進行一系列的高性能響應。

    受影響實體

    暫無

    補丁

    1、修復建議

    1. Nginx官方已發(fā)布修復版本,用戶需要更新到 v1.17.9 (commit a5895eb502747f396d3901a948834cd87d5fb0c3)

    2. OpenResty 用戶需要排查Nginx配置文件中 rewrite 以及 ngx.req.set_uri,建議在不是必須使用的情況下,臨時禁用相關配置。


    2、 深信服解決方案

    深信服下一代防火墻】可輕松防御此漏洞,建議部署深信服下一代防火墻的用戶開啟安全防護規(guī)則,可輕松抵御此高危風險。

    深信服云盾】已第一時間從云端自動更新防護規(guī)則,云盾用戶無需操作,即可輕松、快速防御此高危風險。

    深信服安全感知平臺】可檢測利用該漏洞的攻擊,實時告警,并可聯動【深信服下一代防火墻等產品】實現對攻擊者ip的封堵。

    深信服安全運營服務】深信服云端安全專家提供7*24小時持續(xù)的安全運營服務。在漏洞爆發(fā)之初,對存在漏洞的用戶,檢查并更新了客戶防護設備的策略,確保客戶防護設備可以防御此漏洞風險。