亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2016-0056

近期，國家信息安全漏洞共享平臺（CNVD）收錄了Nginx存在權限提升漏洞（CNVD-2016-10448，對應CVE-2016-1247）。綜合利用該漏洞，本地及遠程攻擊者可利用該漏洞獲取root權限。該產品廣泛應用于構建網站服務器，由于漏洞驗證信息已經公開，該漏洞可能誘發(fā)以控制為目的大規(guī)模攻擊。

一、漏洞情況分析

nginx是俄羅斯軟件開發(fā)者Igor Sysoev所研發(fā)的一款HTTP和反向代理服務器，也可以作為郵件代理服務器，被廣泛應用于網站服務器搭建。Ubuntu官方發(fā)布的安全公告稱，nginx程序在日志文件處理權限錯誤，遠程攻擊者利用該漏洞可獲取系統(tǒng)ROOT權限。Debian官方公告稱，由于Debian 系統(tǒng)上的nginx服務器包處理日志文件的方式，本地攻擊者利用漏洞可訪問/var/log/nginx目錄，讀取日志文件。

CNVD對上述漏洞的綜合評級為“高危”。

二、漏洞影響范圍

該漏洞影響基于Debian操作系統(tǒng)的Nginx 1.6.2-5+deb8u3之前的版本，基于Ubuntu16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3之前版本，基于Ubuntu 14.04LTS操作系統(tǒng)的1.4.6-1ubuntu3.6之前版本，基于Ubuntu16.10操作系統(tǒng)的1.10.1-0ubuntu1.1之前版本。應用Nginx搭建的其他web服務器也可能存在同類安全風險。

根據CNVD秘書處普查情況，受到漏洞影響的運行于Debian操作系統(tǒng)平臺的nginx服務器達到118萬，而受影響的ubuntu平臺nginx服務器更多，達到676萬。整體看，受影響較大的排名前五名的國家和地區(qū)分別是美國（占比52.4%）、德國（7.1%）、中國(6.3%)、英國(6.8%)、法國(4.4%)。

三、漏洞修復建議

目前，多個系統(tǒng)廠商已發(fā)布了漏洞修復方案，用戶可將程序分別升級至基于Debian操作系統(tǒng)的Nginx 1.6.2-5+deb8u3版本，基于Ubuntu16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3版本，基于Ubuntu 14.04 LTS操作系統(tǒng)的1.4.6-1ubuntu3.6版本，基于Ubuntu 16.10操作系統(tǒng)的1.10.1-0ubuntu1.1版本。CNVD建議用戶關注廠商主頁，升級到最新版本，避免引發(fā)漏洞相關的網絡安全事件。

附：參考鏈接：

https://www.debian.org/security/2016/dsa-3701

https://www.ubuntu.com/usn/usn-3114-1/

http://nginx.org/（補丁地址）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-10448