NGINX: Przykłady błędnej konfiguracji serwera
Zespół programistów odpowiedzialny za popularne oprogramowanie Nginx do serwerów internetowych opublikował we wtorek aktualizacje zabezpieczeń, aby zająć się bardzo krytyczną luką, którą można wykorzystywana przez zdalnych intruzów do wykonywania niepożądanego kodu na podatnych serwerach.
Zidentyfikowana jako CVE-2013-2028, luka jest przepełnieniem bufora opartym na stosie i po raz pierwszy została wprowadzona w wersji rozwojowej Nginx 1.3.9 w listopadzie 2012 roku. luka jest również obecna w stabilnej wersji 1.4.0 wydanej w zeszłym miesiącu.
Błąd, który został oceniony jako wysoce krytyczny przez firmę Secun zarządzającą lukami w zabezpieczeniach ia został naprawiony w nowej wersji stabilnej Nginx 1.4.1 i wersji rozwojowej Nginx 1.5.0. Luka może zostać wykorzystana przez złośliwych napastników poprzez wysłanie specjalnie spreparowanych fragmentów HTTP do odsłoniętego serwera Nginx.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Skuteczne wykorzystanie może doprowadzić do wykonania dowolnego kodu i kompromisu systemowego, Secunia powiedział w swoim doradztwie.
Nginx jest opracowywany z myślą o wydajności i niskim zużyciu pamięci i może być używany jako serwer HTTP, jako serwer odwrotnego proxy i jako system równoważenia obciążenia. To sprawia, że jest atrakcyjny dla witryn, które otrzymują znaczny ruch.
Nginx jest trzecim najczęściej używanym oprogramowaniem serwera WWW w Internecie po Apache i Microsoft IIS z udziałem w rynku przekraczającym 15 procent, według niedawnego serwera WWW Ankieta przeprowadzona przez firmę usług internetowych Netcraft.
Rosnąca popularność oprogramowania przyciągnęła uwagę cyberprzestępców. We wtorek naukowcy z firmy ESET ds. Bezpieczeństwa poinformowali o odkryciu skomplikowanego programu typu backdoor zaprojektowanego specjalnie dla serwerów Nginx. Istnienie tego złośliwego programu świadczy o tym, że cyberprzestępcy nie są już atakowani tylko na najbardziej popularne oprogramowanie.
Naprawia krytyczną lukę systemu Windows Microsoft
Najważniejsza łata w dzisiejszej miesięcznej usłudze firmy Microsoft naprawia poważne ryzyko związane z obsługą obrazów metapliku.
Adobe załamuje lukę w oprogramowaniu PDF
Adobe śpieszy się, aby opracować poprawkę na krytyczną lukę w zabezpieczeniach programu Adobe Reader ujawnioną podczas konferencji zabezpieczeń Black Hat.
Jak skonfigurować bloki serwera Nginx na Centos 7
Bloki serwerów Nginx pozwalają na uruchamianie więcej niż jednej witryny na jednym komputerze. W tym samouczku wyjaśnimy, jak skonfigurować bloki serwera Nginx w CentOS 7.