发布日期：2014-03-18
更新日期：2014-04-02

受影响系统：

Nginx Nginx 1.5.x - 1.5.12
Nginx Nginx 1.3.15 - 1.4.7

描述：

---

BUGTRAQ  ID: 66537
CVE(CAN) ID: CVE-2014-0133

Nginx是HTTP及反向代理服务器，同时也用作邮件代理服务器，由Igor Sysoev编写。

Nginx在SPDY实现中存在堆缓冲区溢出漏洞，这可使远程攻击者通过特制的请求利用此漏洞执行任意代码。

满足以下条件的Nginx受该漏洞影响:
1) 版本1.3.15 - 1.5.11
2) 编译时使用了ngx_http_spdy_module模块(该模块编译时默认不使用)
3) 编译时没有使用"--with-debug"选项

<*来源：Lucas Molas
  
  链接：https://bugzilla.redhat.com/show_bug.cgi?id=1077988
*>

建议：

---

厂商补丁：

Nginx
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://nginx.org/en/download.html

http://nginx.org/download/patch.2014.spdy2.txt

http://mailman.nginx.org/pipermail/nginx-announce/2014/000135.html

浏览次数：6482
严重程度：0（网友投票）