Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-0.6.4

To: nginx-ru@xxxxxxxxx
Subject: Re: nginx-0.6.4
From: Igor Sysoev <is@xxxxxxxxxxxxx>
Date: Wed, 18 Jul 2007 12:19:32 +0400
In-reply-to: <20070718080018.GA75498@xxxxxxxxxxx>
References: <20070717101019.GL66769@xxxxxxxxxxxxx> <20070718080018.GA75498@xxxxxxxxxxx>

On Wed, Jul 18, 2007 at 12:00:18PM +0400, Sergey A. Osokin wrote:

> On Tue, Jul 17, 2007 at 02:10:19PM +0400, Igor Sysoev wrote:
> > Изменения в nginx 0.6.4                                           17.07.2007
> > 
> > *) Безопасность: при использовании директивы msie_refresh был возможен 
> >    XSS.
> 
> Игорь, по возможности, сделайте расширенный комментарий этого
> исправления.  На вскидку, diff -ruN nginx-0.6.3 nginx-0.6.4
> результата не дал.

XSS возможен только, если используется "msie_refresh  on", по умолчанию
msie_refresh выключен. Включать msie_refresh имеет смысл достаточно редко.

При обращении 'http://site/";><sctipt>...'

msie_refresh возвращал

<html><head><meta http-equiv="Refresh"
content="0; URL=http://newsite/";><sctipt>

Теперь выдаёт

<html><head><meta http-equiv="Refresh"
content="0; URL=http://newsite/%22><sctipt>

diff можно сделать, если это критично для старых версий.


-- 
Игорь Сысоев
http://sysoev.ru

References:
- nginx-0.6.4
  - From: Igor Sysoev
- Re: nginx-0.6.4
  - From: Sergey A. Osokin

Prev by Date: Re: Встраивание nginx
Next by Date: Re: Встраивание nginx
Previous by thread: Re: nginx-0.6.4
Next by thread: nginx-0.5.28
Index(es):
- Date
- Thread