• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • 【漏洞公告】Nginx/OpenResty目錄穿越漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:未知
    • 漏洞類型: 目錄穿越
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:未知
    • 發(fā)布時間:2020-09-11
    • 更新時間:2020-12-11

    漏洞簡介

    Nginx是一款輕量級的Web 服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器,在BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少,并發(fā)能力強(qiáng),且nginx的并發(fā)能力在同類型的網(wǎng)頁服務(wù)器中表現(xiàn)也較好。

    OpenResty又被稱為ngx_openresty,是基于Nginx的核心Web應(yīng)用程序服務(wù)器。OpenResty通過匯聚各種設(shè)計精良的Nginx模塊,從而將Nginx有效地變成一個強(qiáng)大的通用Web應(yīng)用平臺,其的目標(biāo)是讓W(xué)eb服務(wù)直接運(yùn)行在Nginx服務(wù)內(nèi)部,充分利用Nginx的非堵塞I/O模型,不僅對HTTP客戶端請求,甚至對遠(yuǎn)程后端DB都進(jìn)行一系列的高性能響應(yīng)。

    漏洞公示

    Nginx是一款輕量級的Web 服務(wù)器/反向代理服務(wù)器及電子郵件(IMAP/POP3)代理服務(wù)器,在BSD-like 協(xié)議下發(fā)行。其特點(diǎn)是占有內(nèi)存少,并發(fā)能力強(qiáng),且nginx的并發(fā)能力在同類型的網(wǎng)頁服務(wù)器中表現(xiàn)也較好。

    OpenResty又被稱為ngx_openresty,是基于Nginx的核心Web應(yīng)用程序服務(wù)器。OpenResty通過匯聚各種設(shè)計精良的Nginx模塊,從而將Nginx有效地變成一個強(qiáng)大的通用Web應(yīng)用平臺,其的目標(biāo)是讓W(xué)eb服務(wù)直接運(yùn)行在Nginx服務(wù)內(nèi)部,充分利用Nginx的非堵塞I/O模型,不僅對HTTP客戶端請求,甚至對遠(yuǎn)程后端DB都進(jìn)行一系列的高性能響應(yīng)。

    受影響實(shí)體

    暫無

    補(bǔ)丁

    1、修復(fù)建議

    1. Nginx官方已發(fā)布修復(fù)版本,用戶需要更新到 v1.17.9 (commit a5895eb502747f396d3901a948834cd87d5fb0c3)

    2. OpenResty 用戶需要排查Nginx配置文件中 rewrite 以及 ngx.req.set_uri,建議在不是必須使用的情況下,臨時禁用相關(guān)配置。


    2、 深信服解決方案

    深信服下一代防火墻】可輕松防御此漏洞,建議部署深信服下一代防火墻的用戶開啟安全防護(hù)規(guī)則,可輕松抵御此高危風(fēng)險。

    深信服云盾】已第一時間從云端自動更新防護(hù)規(guī)則,云盾用戶無需操作,即可輕松、快速防御此高危風(fēng)險。

    深信服安全感知平臺】可檢測利用該漏洞的攻擊,實(shí)時告警,并可聯(lián)動【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對攻擊者ip的封堵。

    深信服安全運(yùn)營服務(wù)】深信服云端安全專家提供7*24小時持續(xù)的安全運(yùn)營服務(wù)。在漏洞爆發(fā)之初,對存在漏洞的用戶,檢查并更新了客戶防護(hù)設(shè)備的策略,確保客戶防護(hù)設(shè)備可以防御此漏洞風(fēng)險。