security advisory

Igor Sysoev is at rambler-co.ru
Tue Sep 15 12:05:43 MSD 2009


On Tue, Sep 15, 2009 at 11:30:09AM +0400, Executier Godlike wrote:

> Игорь, на сколько это опасно? Вы пишите что можно
> вызвать всего лишь про сегфолт рабочего процесса(что
> возникает достаточно часто с nginx),

В данном случае проблема в том, что сегфолт зависит не от настроек
nginx'а, а от запроса клиента. То есть, можно получить DoS.

> а в инетах пишут что исполнение произвольного кода.
>
> Кому верить?

Вероятность исполнения кода есть, но на сайтах с большим числом
запросом в секунду очень мала.

> > В связи с появлением уязвимости VU#180065 выпущен патч
> > http://sysoev.ru/nginx/patch.180065.txt
> > для версий 0.1.0-0.8.14. 
> > Для версий 0.8.15, 0.7.62, 0.6.39 и 0.5.38 патч не нужен.


-- 
Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list