Nginx 权限许可和访问控制问题漏洞

漏洞信息详情

Nginx 权限许可和访问控制问题漏洞

• CNNVD编号：CNNVD-201305-235
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-2070
  
• 漏洞类型：
  
  
  权限许可和访问控制问题
  
• 发布时间：
  
  2013-05-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-11-17
  
• 厂        商：
  
  igor_sysoev
• 漏洞来源：

NGINX是美国NGINX公司的一款轻量级Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。

nginx 1.1.4至1.2.8版本和1.3.0至1.4.0版本中的http/modules/ngx_http_proxy_module.c中存在权限许可和访问控制问题漏洞。如果使用proxy_pass传送到不信任的HTTP服务器，远程攻击者可通过特制的代理响应利用该漏洞造成拒绝服务，获得工作进程内存的敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://seclists.org/oss-sec/2013/q2/315

来源:GENTOO

链接:http://security.gentoo.org/glsa/glsa-201310-04.xml

来源:DEBIAN

链接:https://www.debian.org/security/2013/dsa-2721

来源:MISC

链接:https://bugzilla.redhat.com/show_bug.cgi?id=962525

来源:MLIST

链接:http://mailman.nginx.org/pipermail/nginx-announce/2013/000114.html

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/05/13/3

来源:SECUNIA

链接:http://secunia.com/advisories/55181

来源:MLIST

链接:http://seclists.org/oss-sec/2013/q2/291

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105950.html

来源:BID

链接:https://www.securityfocus.com/bid/59824

来源:MISC

链接:http://nginx.org/download/patch.2013.proxy.txt

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/84172