99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

本文原創(chuàng)作者：aqniu

來(lái)源：安全牛

近日，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到北京白帽匯科技有限公司關(guān)于nginx存在本地提權(quán)漏洞(CNNVD-201610-756)的情況報(bào)送。11月15日，nginx官方及相關(guān)操作系統(tǒng)廠商對(duì)上述漏洞已發(fā)布升級(jí)公告。由于上述漏洞影響范圍廣，危害級(jí)別高，國(guó)家信息安全漏洞庫(kù)（CNNVD）對(duì)此進(jìn)行了跟蹤分析，情況如下：

一、漏洞簡(jiǎn)介

nginx是由俄羅斯的程序設(shè)計(jì)師Igor Sysoev所開(kāi)發(fā)的一款輕量級(jí)Web 服務(wù)器/反向代理服務(wù)器及電子郵件（IMAP/POP3）代理服務(wù)器。其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)，被廣泛應(yīng)用于網(wǎng)站服務(wù)器搭建，中國(guó)大陸使用nginx網(wǎng)站用戶有：百度、京東、新浪、網(wǎng)易、騰訊、淘寶等。

多款操作系統(tǒng)上的nginx存在本地提權(quán)漏洞(漏洞編號(hào)：CNNVD-201610-756、CVE-2016-1247)，該漏洞源于程序?qū)θ罩疚募峙淙鯔?quán)限。本地及遠(yuǎn)程攻擊者可利用該漏洞獲取root權(quán)限。以下操作系統(tǒng)及版本受到影響：基于Debian操作系統(tǒng)上的nginx 1.6.2-5+deb8u3之前版本；基于Ubuntu 16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3之前版本，基于Ubuntu 14.04 LTS操作系統(tǒng)的1.4.6-1ubuntu3.6之前版本，基于Ubuntu 16.10操作系統(tǒng)的1.10.1-0ubuntu1.1之前版本。

二、漏洞危害

擁有普通用戶權(quán)限的本地攻擊者可利用該漏洞提升權(quán)限至超級(jí)管理員(root)。若部署在該服務(wù)器上的Web應(yīng)用存在漏洞，當(dāng)遠(yuǎn)程攻擊者利用web漏洞獲取本地權(quán)限后，可利用該漏洞提升權(quán)限至超級(jí)管理員(root)，從而完全控制服務(wù)器。
據(jù)統(tǒng)計(jì)，目前，全球現(xiàn)有將近一千余萬(wàn)網(wǎng)站使用了nginx服務(wù)器，存在漏洞的網(wǎng)站數(shù)量為11331819個(gè)，共覆蓋了100個(gè)國(guó)家和數(shù)百個(gè)城市，其中排在前五的國(guó)家分別為美國(guó)，中國(guó)，德國(guó)，俄羅斯以及法國(guó)。

圖1 nginx全球分布

圖2 漏洞影響全球分布情況

我國(guó)受影響網(wǎng)站約有1418294個(gè)，主要位于浙江(28%)、北京(21%)、廣東(10%)等城市，以政府、高校等行業(yè)網(wǎng)站為主。

圖3 nginx中國(guó)分布

圖4 漏洞影響我國(guó)分布情況

三、修復(fù)措施

目前，nginx官方及相關(guān)操作系統(tǒng)廠商已發(fā)布針對(duì)該漏洞的修復(fù)版本，并且，該漏洞細(xì)節(jié)及利用方式已在互聯(lián)網(wǎng)上公布，請(qǐng)受影響的用戶盡快升級(jí)至最新版本以消除漏洞影響。

nginx官方鏈接：http://nginx.org/
Debian官方鏈接：https://www.debian.org/security/2016/dsa-3701
Ubuntu官方鏈接：https://www.ubuntu.com/usn/usn-3114-1/

本報(bào)告由CNNVD技術(shù)支撐單位—北京白帽匯科技有限公司提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。

聯(lián)系方式: cnnvd@itsec.gov.cn

原文地址：http://www.aqniu.com/threat-alert/21052.html