【中危】- Nginx/OpenResty目录穿越漏洞通告
■ 漏洞描述
Nginx 是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。
OpenResty是一个基于nginx的Web平台,它对nginx增加LuaJIT引擎使其运行Lua脚本。
在特定配置下nginx/openresty存在目录穿越漏洞,读取系统任意文件。
■ 影响范围
nginx <= v1.17.7
openresty <= v1.15.8.2
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
Nginx官方已发布修复版本,用户需要更新到 v1.17.9:
http://nginx.org/en/download.html。
openresty目前还没有发布新的版本和补丁。
■ 临时修复
方案1:添加阿里云waf
方案2:OpenResty 用户需要排查Nginx配置文件中 rewrite 以及 ngx.req.set_uri,建议在不是必须使用的情况下,临时禁用相关配置。
■ 漏洞详情
https://mp.weixin.qq.com/s/a4VjhX6-ssZRzWQNEvkWpg
Nginx 是异步框架的网页服务器,也可以用作反向代理、负载平衡器和HTTP缓存。
OpenResty是一个基于nginx的Web平台,它对nginx增加LuaJIT引擎使其运行Lua脚本。
在特定配置下nginx/openresty存在目录穿越漏洞,读取系统任意文件。
■ 影响范围
nginx <= v1.17.7
openresty <= v1.15.8.2
■ 漏洞检测
1、检测方法:查看系统版本。
■ 漏洞修复
Nginx官方已发布修复版本,用户需要更新到 v1.17.9:
http://nginx.org/en/download.html。
openresty目前还没有发布新的版本和补丁。
■ 临时修复
方案1:添加阿里云waf
方案2:OpenResty 用户需要排查Nginx配置文件中 rewrite 以及 ngx.req.set_uri,建议在不是必须使用的情况下,临时禁用相关配置。
■ 漏洞详情
https://mp.weixin.qq.com/s/a4VjhX6-ssZRzWQNEvkWpg