五 23
这两天nginx的0day闹的沸沸扬扬,好不热闹。在陈科学院处得到这个消息后,以迅雷不及掩耳盗铃之势将线上的服务器check一遍。本着把八卦进行到底的精神,周未两天继续来八一八这个所谓的0day。
1、把这个问题归结于nginx上,好像很不靠谱。最多只能算是配置问题。
2、网上说的方法有两种,我个人建议使用第一种。第二种还是有小小的问题,解决办法在这里
3、当然还可以使用上传分离的方法来解决这个问题,比如将业务系统放在www域名下,将上传文件放在upload域名下。
4、这种漏洞的最可怕的是可以得到webshell,只需要简单设置就可以避免(自己写的原稿找不到了,还要引用别人的。哈哈)
5、我很质疑这个洞洞算不算0day呢?很是好奇这个漏洞倒底是不是小顿同学这两天发现的呢?
在php官网上找到了这个 。注意日期是:2010-01-27 00:05。我坚信还能找到比这个更找的日期。在重庆达人的博客上找到这篇文章。日期是:2008-12-02 22:49。但是这篇文章上的达人用到的邮件地址是yuange@nsfocus.net。我要没记错的话,这个时间袁达人已经离开绿盟了。在绿盟的网站上找到了这篇文章。日期是:2000-12-14。费了这么大劲,只想说的是这个问题最少应该存在了10年了。我们做运维相关的同学们是不是该考虑些什么呢???
6、绿盟发布的紧急通告很不严谨呀,这个漏洞,(如果算是的话)和nginx的版本是没关系的。最少我测试的结果在任何版本上都可以运行的。当然包括6以下的版本。不应该呀!
Recent Comments