首页   已启用新论坛 http://www.wdlinux.cn/bbs,旧论坛停止更新和注册

apache/nginx/web

warning: Creating default object from empty value in /www/web/w1/wdlinux_cn/old/modules/modules/taxonomy/taxonomy.pages.inc on line 33.
apache/nginx/web

nginx 爆 0day 漏洞,上传图片可入侵服务器

星期一, 05/24/2010 - 13:19 — wdlinux

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布补丁修复该漏洞。

根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务 器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。有图有真相。

没错,重申一次,由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改 成图片上传就是了,由于危害非常大,就不说细节了。有兴趣的请访问 http://www.80sec.com/nginx-securit.html

说了那么多,我想大家对80sec这个顶级安全团队比较好奇吧,素包子简单介绍一下。

欢迎转载,但请保留此信息
[我的Linux,让Linux更易用] CentOS精简版,集成lamp,lnmp版,wdcp,wdcdn,wddns,一键安装包,集群负载均衡LVS,智能DNS/CDN,性能优化
本文连接:http://www.wdlinux.cn/old/nginx_safe_20100521

同步内容