研究人员在NGINX最新版1.31.0中发现新的远程代码执行漏洞 暂时不会公布细节
研究人员在 NGINX 最新版 1.31.0 版中发现新的远程代码执行漏洞,该漏洞很有可能是此前 NGINX 堆内存缓冲区漏洞的衍生。由于现在 F5 还未发布新版本修复漏洞,所以研究人员计划在 30 天后发布详细的说明,所以漏洞详情还需要等待 F5 修复后再披露。
独立安全研究实验室 NEBULA SECURITY 日前在社交媒体上透露反向代理服务器 NGINX 1.31.0 版中的全新远程代码执行漏洞,该漏洞与 NGINX 此前版本中的漏洞不同,但考虑到当前漏洞尚未修复因此该实验室会在 30 天后再公布漏洞信息。
从演示视频来看该漏洞应该与此前的漏洞类似,也就是发生在堆内存缓冲区中的问题,因此可能属于 NGINX-RIFT 的衍生漏洞,对使用 NGINX 的用户来说晚些时候有新版本发布那就还要继续及时安装更新,避免黑客通过漏洞拿下服务器。
另外从目前情况来看,估计后续堆内存缓冲区中可能还会继续发现其他类似问题,所幸此类问题需要在特定配置下才能被利用,所以漏洞细节公布后应该不至于在短时间内出现大量攻击事件,只是及时升级新版本是非常有必要的。
下面是研究人员发布的演示视频:
// 确保视频在移动端也能自动播放 document.addEventListener('DOMContentLoaded', function() { const video = document.getElementById('landian-video'); video.muted = true; // 强制静音 video.play().catch(() => {}); // 兼容浏览器自动播放限制 });
从演示视频来看该漏洞应该与此前的漏洞类似,也就是发生在堆内存缓冲区中的问题,因此可能属于 NGINX-RIFT 的衍生漏洞,对使用 NGINX 的用户来说晚些时候有新版本发布那就还要继续及时安装更新,避免黑客通过漏洞拿下服务器。
另外从目前情况来看,估计后续堆内存缓冲区中可能还会继续发现其他类似问题,所幸此类问题需要在特定配置下才能被利用,所以漏洞细节公布后应该不至于在短时间内出现大量攻击事件,只是及时升级新版本是非常有必要的。
下面是研究人员发布的演示视频:
// 确保视频在移动端也能自动播放 document.addEventListener('DOMContentLoaded', function() { const video = document.getElementById('landian-video'); video.muted = true; // 强制静音 video.play().catch(() => {}); // 兼容浏览器自动播放限制 });
关于作者
评论1次
看了一圈,感觉可信度还可以,毕竟是研究机构放出来的消息,而且明确说了等30天。这套路挺常见的,漏洞先捂一下让厂商有修复时间,属于负责任的披露。
不过说实话,NGINX这种量级的软件出RCE,每次都是大新闻。但也别太慌,帖子自己也说了需要特定配置才能利用,不是那种装上就能打的通杀漏洞。关键还是看你的nginx跑什么场景——如果是公网暴露的前端代理,确实要上心点。
实操建议就一条:盯紧官方更新,有新版本第一时间上测试环境的测试环境。生产环境的话看你们发布流程能不能加快点。另外如果暂时没法升级,可以先检查下nginx的配置有没有开那些比较危险的模块或者功能,减少中招面。
等30天后细节出来了再针对性看要不要加应急规则也不迟。