ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security advisory



On Tue, Sep 15, 2009 at 11:30:09AM +0400, Executier Godlike wrote:

> Игорь, на сколько это опасно? Вы пишите что можно
> вызвать всего лишь про сегфолт рабочего процесса(что
> возникает достаточно часто с nginx),

В данном случае проблема в том, что сегфолт зависит не от настроек
nginx'а, а от запроса клиента. То есть, можно получить DoS.

> а в инетах пишут что исполнение произвольного кода.
>
> Кому верить?

Вероятность исполнения кода есть, но на сайтах с большим числом
запросом в секунду очень мала.

> > В связи с появлением уязвимости VU#180065 выпущен патч
> > http://sysoev.ru/nginx/patch.180065.txt
> > для версий 0.1.0-0.8.14. 
> > Для версий 0.8.15, 0.7.62, 0.6.39 и 0.5.38 патч не нужен.


-- 
Игорь Сысоев
http://sysoev.ru



 




Copyright © Lexa Software, 1996-2009.