Re: подвержен ли nginx уязвимости ShellShock?
MrClon
mrclon.rus at gmail.com
Mon Sep 29 18:40:27 UTC 2014
Думаю будет не вредно уточнить что это не относится к скриптам
работающим за nginx (в apache или через FastCGI например).
Nginx не запускает bash (по крайней мере без дополнительных извращений в
конфигах), поэтому проблемы bash его волнуют не больше чем проблемы
афроамериканцев волнуют шерифа.
Но например php-скрипт запускаемый через FastCGI сполне может вызывать
bash и передавать ему полученные от пользователя данные, и тут
ShellShock актуален.
В общем это комментарий от капитана Очевидность о том что наличие в
системе nginx не решает проблемы вроде ShellShock, а всего-лишь не
добавляет новые. Ложное чувство безопасности не менее опасно чем
моднейшие уязвимости.
27.09.2014 18:15, Sargas пишет:
> nginx не подвержен
> http://nginx.com/blog/nginx-cve-2014-6271-bash-advisory/
>
> 27 сентября 2014 г., 9:57 пользователь tiberule <nginx-forum at nginx.us
> <mailto:nginx-forum at nginx.us>> написал:
>
> Несколько по-ламерски сформулировал вопрос, но все равно очень
> интересует,
> стоит опасаться за безопасность своих серверов или nginx не
> взаимодействует
> с шелом?
>
> Posted at Nginx Forum:
> http://forum.nginx.org/read.php?21,253570,253570#msg-253570
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org <mailto:nginx-ru at nginx.org>
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20140929/fd7cf8a4/attachment.bin>
Подробная информация о списке рассылки nginx-ru