山石网科:网上又现Nginx的0day漏洞

近日,Nginx 0day攻击爆发,很多网站、论坛遭到该漏洞的攻击,被上传木马,Hillstone山石网科发布快速解决方案,在新发布的IPS特征库中,已包含了针对该漏洞的攻击特征,通过在设备上自动升级即可有效规避此漏洞,更好地保护用户的系统。

Nginx 是一个在业界颇受好评的高性能Web和反向代理服务器,由俄罗斯软件工程师Igor Sysoev开发,最早提供给俄罗斯大型的入口网站及搜寻引擎Rambler(俄文:Рамблер)使用,后作为开源代码提供给公众。由于Nginx系统占用内存少,并发能力强,在国内也拥有大量用户,知名用户如新浪、网易、 腾讯等门户网站和六房间、酷6等视频分享网站。

Ngnix在遇到“%00”空字节时与后端FastCGI处理不一致,导致访问者可以在图片中嵌入PHP代码然后通过访问“xxx.jpg%00.php”来执行其中的代码,这就使得那些允许上传文件的网站,比如论坛网站等,很容易遭到挂马攻击。

该漏洞影响的版本包括:Nginx 0.5.*、Nginx 0.6.*、Nginx 0.7-> Nginx 0.7.65、Nginx 0.8-> Nginx 0.8.37。值得注意的是,虽然Nginx单独的模块具备过滤“%00”空字节的能力,但并不是所有的模块都具备这个能力,譬如FastCGI,其主要行为是将CGI解释器进程保持在内存中并因此获得较高的性能,默认情况下允许URIs中包含 “%00”空字节,而FastCGI在各版本Nginx中被广泛使用,因此此次漏洞对包含FastCGI的版本均有影响。