Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security advisory

To: nginx-ru@xxxxxxxxx
Subject: Re: security advisory
From: Igor Sysoev <is@xxxxxxxxxxxxx>
Date: Tue, 15 Sep 2009 12:05:43 +0400
In-reply-to: <20090915113009.1756df30@exework>
References: <20090914133652.GM40593@xxxxxxxxxxxxx> <20090915113009.1756df30@exework>

On Tue, Sep 15, 2009 at 11:30:09AM +0400, Executier Godlike wrote:

> Игорь, на сколько это опасно? Вы пишите что можно
> вызвать всего лишь про сегфолт рабочего процесса(что
> возникает достаточно часто с nginx),

В данном случае проблема в том, что сегфолт зависит не от настроек
nginx'а, а от запроса клиента. То есть, можно получить DoS.

> а в инетах пишут что исполнение произвольного кода.
>
> Кому верить?

Вероятность исполнения кода есть, но на сайтах с большим числом
запросом в секунду очень мала.

> > В связи с появлением уязвимости VU#180065 выпущен патч
> > http://sysoev.ru/nginx/patch.180065.txt
> > для версий 0.1.0-0.8.14. 
> > Для версий 0.8.15, 0.7.62, 0.6.39 и 0.5.38 патч не нужен.

-- 
Игорь Сысоев
http://sysoev.ru

References:
- security advisory
  - From: Igor Sysoev
- Re: security advisory
  - From: Executier Godlike

Prev by Date: Re: security advisory
Next by Date: Re: security advisory
Previous by thread: Re: security advisory
Next by thread: Re: security advisory
Index(es):
- Date
- Thread