新聞動態
高危漏洞Hold住
編輯:
時間:2011-10-07 19:27:38
天融信攻防實驗室針對兩款威脅較大的漏洞:“Apache Http 漏洞”和“nginx 空字節漏洞”發布了安全補丁。
對于另外一款針對Nginx服務器的“空字節執行任意代碼”漏洞,主要的問題是Ngnix在遇到%00空字節時會與后端FastCGI處理不一致,導致可以在圖片中嵌入PHP代碼,然后通過訪問xxx.jpg%00.php來執行其中的代碼。
由于Apache Http服務器會“處理Range選項生成回應漏洞”,因此只要發送300個包含有畸形字符的報文到Apache 服務器,其CPU就會達到100%占用,讓系統直接宕機。由于在WEB應用中Apache服務器的數量很大,因此這個漏洞會造成較大影響。
對于以上兩個Web 服務器方面的漏洞,特別是第一個漏洞,其攻擊包已經在網絡上流行,預計一段時間以內,這個攻擊會造成較大威脅。目前,天融信已經及時推出了有關解決方案,針對這2個遠程利用漏洞,天融信在本周三的規則庫發布升級中已經添加了對這兩種漏洞攻擊的識別阻斷規則。目前,天融信IDP產品用戶只需要立即升級規則庫版本到ips-v2011.08.31 就可以防范這兩種攻擊。
(責任編輯:張老師)| << 上一篇:微軟高管稱Windows 8 Ribbon勢在必行 | >> 下一篇:中國電信版iPhone5將推遲至年后發售 |
相關資訊
-
無相關信息
