发布日期：2013-11-19
更新日期：2013-11-21

受影响系统：

Igor Sysoev nginx < 1.5.7
Igor Sysoev nginx < 1.4.4

描述：

---

BUGTRAQ  ID: 63814
CVE(CAN) ID: CVE-2013-4547

Nginx是HTTP及反向代理服务器，同时也用作邮件代理服务器，由Igor Sysoev编写。

nginx 0.8.41-1.5.6验证包含未转义空间字符的URI时，在实现上存在远程安全限制绕过漏洞，攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

<*来源：Ivan Fratric （ifsecure@gmail.com）
  
  链接：http://secunia.com/advisories/55757/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

/file \0.php

建议：

---

厂商补丁：

Igor Sysoev
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://nginx.org/en/download.html
http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.htm

浏览次数：4664
严重程度：0（网友投票）