Главная » Новости » 2012 » 06 » 09 9 июня 2012

Positive Research помог устранить уязвимость в популярном веб-сервере nginx

Эксперт Исследовательского центра Positive Research компании Positive Technologies Владимир Кочетков обнаружил опасную уязвимость в приложении nginx. Nginx — это легкий и высокопроизводительный веб-сервер, написанный Игорем Сысоевым и быстро завоевавший популярность во всем мире.

Уязвимость «Обход ограничений безопасности» была найдена в Windows-версиях программы (nginx 1.2.0 и 1.3.0). Ошибка позволяла злоумышленнику направлять HTTP-запросы к некоторым URL в обход правил, определенных в директивах location конфигурации веб-сервера.

Воспользовавшись недостаточной защищенностью nginx, потенциальный хакер мог получить доступ к исходному коду веб-приложения и закрытым разделам сайта, обнаружить новые уязвимости, украсть пароли подключения к базе данных и другим службам. При сопоставлении URL запрошенного ресурса с локациями, определенными в конфигурации веб-сервера, не учитывалась существующая в файловой системе NTFS возможность адресовать каталог с использованием расширенного синтаксиса через атрибут: $i30:$INDEX_ALLOCATION.

Для устранения уязвимости необходимо установить последнюю стабильную версию nginx 1.2.1 с сайта производителя.

По данным Netcraft, nginx занимает второе место в мире по распространенности среди активных сайтов, уступая лишь Apache. Число ресурсов, использующих nginx, превышает 68 млн; среди них такие известные проекты, как Yandex, Rambler, Facebook, Mail.Ru, «Вконтакте», Wordpress.com, Rutracker.org и Groupon.

09:10 09.06.2012
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



ВИКТОРИНА PATRIOT

Какие продукты, помимо компьютерной памяти, представлены в линейке Patriot – Viper Gaming?
июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
2012

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.