Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: security advisory
On Tue, Sep 15, 2009 at 11:30:09AM +0400, Executier Godlike wrote:
> Игорь, на сколько это опасно? Вы пишите что можно
> вызвать всего лишь про сегфолт рабочего процесса(что
> возникает достаточно часто с nginx),
В данном случае проблема в том, что сегфолт зависит не от настроек
nginx'а, а от запроса клиента. То есть, можно получить DoS.
> а в инетах пишут что исполнение произвольного кода.
>
> Кому верить?
Вероятность исполнения кода есть, но на сайтах с большим числом
запросом в секунду очень мала.
> > В связи с появлением уязвимости VU#180065 выпущен патч
> > http://sysoev.ru/nginx/patch.180065.txt
> > для версий 0.1.0-0.8.14.
> > Для версий 0.8.15, 0.7.62, 0.6.39 и 0.5.38 патч не нужен.
--
Игорь Сысоев
http://sysoev.ru
|