這兩天網(wǎng)上瘋傳一個(gè)Nginx的所謂文件類型錯(cuò)誤解析漏洞，但是真的就只有這樣嗎？漏洞介紹：nginx是一款高性能的web服務(wù)器，使用非常廣泛，其不僅經(jīng)常被用作反向代理，也可以非常好的支持PHP的運(yùn)行。80sec發(fā)現(xiàn)其中存在一 個(gè)較為 嚴(yán)重的安全問題，默認(rèn)情況下可能導(dǎo)致服務(wù)器錯(cuò)誤的將任何類型的文件以PHP的方式進(jìn)行解析，這將導(dǎo)致嚴(yán)重的安全問題，使得惡意的***者可能攻陷支持 php的nginx服務(wù)器。原文詳細(xì)見：http://www.80sec.com/nginx-securit.html
經(jīng)測(cè)試這個(gè)并不是nginx的漏洞，而是php-fpm的漏洞.我生產(chǎn)中的服務(wù)器使用的是php-fpm-0.5，都有這個(gè)漏洞.但是測(cè)試環(huán)境中的php-fpm-0.6卻沒有這個(gè)漏洞建議以后fastcgi使用php-fpm-0.6打補(bǔ)丁。php-fpm-0.6安裝方法和0.5版本的有所不同大家可以參考參考我的博客《使用php-fpm-0.6編譯php5.2.13》一文# tar -jxvf php-5.2.13.tar.bz2# tar -zxvf php-fpm-0.6~5.2.11.tar.gz# php-fpm-0.6-5.2.11/generate-fpm-patch# cd php-5.2.13/# patch -p1 < ../fpm.patch# rm -rf configure# ./buildconf --force# ./configure --prefix=/usr/local/www/php --with-mysql=/usr/local/www/mysql/?--with-mysqli=/usr/local/www/mysql/bin/mysql_config?--with-config-file-path=/usr/local/www/php?--with-gd=/usr/local/www/gd --enable-gd-native-ttf --enable-gd-jis-conv--with-jpeg-dir --with-png-dir --with-freetype-dir --with-zlib-dir --with-xpm-dir--enable-xml --with-curl --with-curlwrappers --with-zlib --enable-exif?--with-zlib-dir --with-bz2 --with-libxml-dir?--enable-mbstring --enable-sockets --enable-zip --enable-ftp--with-iconv-dir=/usr/local/www/libiconv --with-iconv?--disable-rpath --enable-bcmath --enable-shmop --enable-sysvsem?--enable-inline-optimization --enable-mbregex?--with-libevent=/usr/local/www/libevent/?--with-fpm --enable-fastcgi --enable-force-cgi-redirect# make?# make install

轉(zhuǎn)載于:https://blog.51cto.com/lin128/319252

總結(jié)

以上是生活随笔為你收集整理的nginx真的存在文件类型解析漏洞吗？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。