資訊專欄INFORMATION COLUMN
摘要:漏洞報告最近收到安全部門的安全掃描報告。遠程攻擊者可利用該漏洞獲取敏感信息或造成拒絕服務。廠商補丁目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接一個高危漏洞,趕緊網上查詢下資料這準備修復。
漏洞報告
最近收到安全部門的安全掃描報告。內容如下:
nginx 安全漏洞(CVE-2018-16845) 中危 nginx類 nginx是由俄羅斯的程序設計師Igor Sysoev所開發的一款輕量級Web服務器/反向代理服務器及電子郵件(IMAP/POP3)代理服務器。 Nginx 1.15.5及之前的版本和1.14.1版本中的ngx_http_mp4_module組件存在內存泄露漏洞,該漏洞源于程序沒有正確處理MP4文件。遠程攻擊者可利用該漏洞獲取敏感信息或造成拒絕服務。 廠商補丁: 目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接: http://mailman.nginx.org/pipermail/nginx-announce/2018/000221.html
一個高危漏洞,趕緊網上查詢下資料這準備修復。
修復過程去補丁地址獲取補丁,可以看到這個內容:
Patch for the issue can be found here: http://nginx.org/download/patch.2018.mp4.txt
點擊獲取查看補丁信息:
--- src/http/modules/ngx_http_mp4_module.c
+++ src/http/modules/ngx_http_mp4_module.c
@@ -942,6 +942,13 @@ ngx_http_mp4_read_atom(ngx_http_mp4_file
atom_size = ngx_mp4_get_64value(atom_header + 8);
atom_header_size = sizeof(ngx_mp4_atom_header64_t);
+ if (atom_size < sizeof(ngx_mp4_atom_header64_t)) {
+ ngx_log_error(NGX_LOG_ERR, mp4->file.log, 0,
+ ""%s" mp4 atom is too small:%uL",
+ mp4->file.name.data, atom_size);
+ return NGX_ERROR;
+ }
+
} else {
ngx_log_error(NGX_LOG_ERR, mp4->file.log, 0,
""%s" mp4 atom is too small:%uL",
第一行和第二行表示漏洞發生的文需要修改的文件
第三行表示修復前的漏洞位置在942行的后6行,942,13為補丁添加的位置到第13行
真正需要添加的部分為+號部分,復制定漏洞文件需要刪除+號(+表示新增)
接著去nginx的啟動文件夾,查看編譯參數信息:
./nginx -V
得到如下信息:
nginx version: nginx/1.11.5 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) built with OpenSSL 1.0.1c 10 May 2012 TLS SNI support enabled configure arguments: --prefix=/app/nginx/nginx --with-pcre=/app/nginx/soft/pcre-8.35 --with-zlib=/app/nginx/soft/zlib-1.2.8 --with-openssl=/app/nginx/soft/openssl-1.0.1c --with-http_ssl_module --with-http_realip_module
需要用到的內容為configure arguments:后的內容
去nginx源碼目錄編譯
cd nginx-1.11.5 && ./configure --prefix=/app/nginx/nginx --with-pcre=/app/nginx/soft/pcre-8.35 --with-zlib=/app/nginx/soft/zlib-1.2.8 --with-openssl=/app/nginx/soft/openssl-1.0.1c --with-http_ssl_module --with-http_realip_module && make
注意:不要make install,不然會覆蓋現有的
等待編譯成功后會生成一個objs目錄,進入目錄
cd objs
復制編譯生成的可執行文件到原先的nginx的sbin目錄
cp nginx /app/nginx/nginx/sbin
注意,復制前建議先備份原有的sbin文件
切換進程:
make upgrade
或者去替換的sbin目錄
,./nginx -s reload
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/40589.html
摘要:網絡存儲和安全解決方案提供商上周五發布了補丁,以解決影響其智能交換機的三個安全漏洞,攻擊者可能會濫用這些漏洞來完全控制易受攻擊的設備。隨著網絡攻擊事件愈發頻繁,網絡安全已成為重點關注問題。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidde...
摘要:在十年未變安全,誰之責上中,我們介紹了安全領域的現狀和新的解決方案,那么究竟是什么它在應用安全多變的今天又能帶給我們什么樣效果我們將通過何種方式才能打贏這場與黑客之間的攻堅戰呢應用安全行業快速發展的數十年間,出現了許多巨變。 在 十年未變!安全,誰之責?(上)中,我們介紹了安全領域的現狀和RASP新的解決方案,那么 RASP 究竟是什么?它在應用安全多變 的今天又能帶給我們什么樣效果?...
摘要:月日,谷歌官方發布了本次宕機調查結果。谷歌表示此次宕機時長小時分鐘,從年月日開始,到結束。但是谷歌官方認為該漏洞已經存在個月了,他們僅將其定為內部高優先級事故。最后谷歌官方還對本次宕機事件進行了道歉,并確保以后不再發生此類問題。 ...
摘要:與攻擊相比,攻擊往往很少見,因此對其進行防范的資源也相當稀少。不過,這種受信任的攻擊模式更加難以防范,所以被認為比更具危險性。通過實時升級系統快速同步最新漏洞,避免零日攻擊。 現在,我們絕大多數人都會在網上購物買東西。但是很多人都不清楚的是,很多電商網站會存在安全漏洞。比如烏云就通報過,國內很多家公司的網站都存在 CSRF 漏洞。如果某個網站存在這種安全漏洞的話,那么我們在購物的過程中...
摘要:微軟雅黑宋體春節剛開始,我們安全,發布了年服務器被挖礦的整體安全分析報告。我們調查分析發現,從網站漏洞被爆出后到修復漏洞的時間約大,一些網站被攻擊的狀況就越嚴重,服務器被挖礦的事情就會發生,如果及時的修復漏洞,那么就可以避免被挖礦。春節剛開始,我們SINE安全,發布了2018年服務器被挖礦的整體安全分析報告。該安全報告主要是以我們去年的整一年的安全數據為基礎,對這些服務器的被挖礦的整體情況進...
閱讀 1561·2023-04-25 15:50
閱讀 1304·2021-09-22 15:49
閱讀 2930·2021-09-22 15:06
閱讀 3567·2019-08-30 15:54
閱讀 2331·2019-08-29 11:33
閱讀 2117·2019-08-23 17:56
閱讀 2144·2019-08-23 17:06
閱讀 1293·2019-08-23 15:55
