XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Diqqət!!!Nginx - də boşluq aşkarlandı.

23 Noy 2013

 Nginx-də CVE 2013-4547 aşkarlanmışdır. Belə ki, xüsusi tərkibli sorğunun köməyilə faylı yerinə yetirmək imkanı verir. Mövcud boşluq nginx-in 0.8.41-1.5.6 versiyalarında mövcuddur. Nginx-in 1.5.7 və 1.4.4 versiyalarında isə boşluq aşkarlanmayıb. 

Boşluğun səbəbi olaraq URİ sorğularının simvollar üzərindən bəzi yoxlamaları aparmamasıdır. Səhvin nəticəsi olaraq deny all məhdudiyyət növü tərəfindən bağlı olan fayllara daxil olmaq mümkün olmuşdur. Faylı bu cür sorğulamaq olur:

1. İstifadəçi sonluqda aralıq (space) qoymaqla serverə fayl yükləyə bilir.

2. Xüsusi tərkibli sorğu ilə bu fayl yerinə yetirilir.