寻找传入的更新和补丁,补丁程序!
安全研究人员警告说,在NGINX Web服务器中发现的两个beplay体育能用吗错误可以被利用以实现远程代码执行(RCE)。
所讨论的漏洞 - 被描述为数组溢出和整数溢出- Alisa Esage通过趋势Micro的零日计划(ZDI)披露平台报告。
阵列溢出漏洞(ZDI-CAN-8296)在0.3.2释放中进行了修补。
根据ZDI负责任的披露政策,尽管据了解NGINX正在处理修复程序,但尚未发布有关整数溢出漏洞的更多详细信息。
稀缺的细节已经发布 - 尽管在GitHub上公开了该问题,但Nginx尚未发布安全咨询。
使用NGINX Web服务器的任何人当beplay体育能用吗前都可能处于危险之中,并且一旦更新可用,都应立即进行修补。
ESAGE警告说,整数溢出错误(ZDI-CAN-8495)和已经捕到的漏洞可能会导致RCE - 考虑到这是一个特别的关注点超过40%的网站beplay体育能用吗估计全球使用NGINX。
“ NJS的数组和字符串方法都可以通过远程用户输入(HTTP请求数据等)来达到,因为它映射到可用于解析的全局JavaScript对象,”研究人员在Twitter上写。
Nginx本身已公开发挥了风险,在Twitter上声称“这两个错误似乎都不是一般可利用”。
在Twitter上也有关于该错误的现实含义的讨论,甚至Esage承认炒作是“不正确的”。
每日swbeplay2018官网ig已与Nginx联系以进行评论,并将相应地更新文章。
