检查是否有 linux bash的ShellShock系列漏洞
ShellShock系列漏洞包含有
CVE-2014-6271
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278[……]
漏洞
CVE-2014-6271
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187
CVE-2014-6277
CVE-2014-6278[……]
2014年6月5日OpenSSL.org官方发布OpenSSL存在诸多漏洞。这些漏洞可能导致中间人攻击,拒绝服务,任意代码执行,会话注入数据等威胁,严重影响到网站的安全。
官网详细信息看这里 http://www.openssl.org/news/secadv_20140605.txt[……]
请看80sec公布的漏洞利用原理 http://www.80sec.com/nginx-securit.html
请看cnbeta的新闻。http://www.cnbeta.com/articles/111711.htm
解决方案1:修改/usr/local/php/etc/php.ini将cgi.fix_pathinfo设为0 (注:前面可能有注释符号; 需要删除掉。),执行/usr/local/php/sbin/php-fpm restart重启。
lnmp一键安装包用户可以直接执行命 令:sed -i ‘s/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g’ /usr/local/php/etc/php.ini 再执行:/usr/local/php/sbin/php-fpm restart重启即可修复完成。
解决方案2:为nginx虚拟主机添加如下内容:
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
此方法我的测试结果为二级目录就报错403错误了。不建议采用。
nginx真的存在文件类型解析漏洞吗? 结果证明是php-fpm的问题。汗·
—–以下转发文章。请用php fpm的同学速度修复
[……]
2009年7月13日 虽然360 怎么怎么,不过确实为中国的网民做了贡献~
垃圾与不垃圾,好与不好,自己去评定~
————
三月 30th, 2009
08067 漏洞不逊于以前的微软的几个打漏洞~~ 当时08067漏洞公布的时候已经有益处分析,和利用程序。当时我曾经做了一个测试,写的一个b[……]