Re: подвержен ли nginx уязвимости ShellShock?

MrClon mrclon.rus at gmail.com
Mon Sep 29 18:40:27 UTC 2014


Думаю будет не вредно уточнить что это не относится к скриптам
работающим за nginx (в apache или через FastCGI например).
Nginx не запускает bash (по крайней мере без дополнительных извращений в
конфигах), поэтому проблемы bash его волнуют не больше чем проблемы
афроамериканцев волнуют шерифа.
Но например php-скрипт запускаемый через FastCGI сполне может вызывать
bash и передавать ему полученные от пользователя данные, и тут
ShellShock актуален.

В общем это комментарий от капитана Очевидность о том что наличие в
системе nginx не решает проблемы вроде ShellShock, а всего-лишь не
добавляет новые. Ложное чувство безопасности не менее опасно чем
моднейшие уязвимости.

27.09.2014 18:15, Sargas пишет:
> nginx не подвержен  
> http://nginx.com/blog/nginx-cve-2014-6271-bash-advisory/
> 
> 27 сентября 2014 г., 9:57 пользователь tiberule <nginx-forum at nginx.us
> <mailto:nginx-forum at nginx.us>> написал:
> 
>     Несколько по-ламерски сформулировал вопрос, но все равно очень
>     интересует,
>     стоит опасаться за безопасность своих серверов или nginx не
>     взаимодействует
>     с шелом?
> 
>     Posted at Nginx Forum:
>     http://forum.nginx.org/read.php?21,253570,253570#msg-253570
> 
>     _______________________________________________
>     nginx-ru mailing list
>     nginx-ru at nginx.org <mailto:nginx-ru at nginx.org>
>     http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 
> 
> 
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20140929/fd7cf8a4/attachment.bin>


Подробная информация о списке рассылки nginx-ru