Коментарі для запису: Витік інформації в nginx http://websecurity.com.ua/4257/ Mon, 06 Apr 2026 17:22:51 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/4257/#comment-326456 Sat, 05 Jun 2010 20:19:32 +0000 http://websecurity.com.ua/4257/#comment-326456 <blockquote>удалось найти хоть один пруф-линк?)</blockquote> <strong>Im</strong> Сам я не искал (хотя у меня и запланированы исследования по Nginx). Но advisory от ребят из Core или Securitylab.ir я доверяю, т.к. много ихних описаний уязвимостей встречал и эти исследователи себя хорошо зарекомендовали. Касательно уязвимых серверов на Nginx, то ctar <a href="/3984/#comment-310360" rel="nofollow">нашёл</a> таковые. О чём он писал в комментариях у меня на сайте.

удалось найти хоть один пруф-линк?)

Im

Сам я не искал (хотя у меня и запланированы исследования по Nginx). Но advisory от ребят из Core или Securitylab.ir я доверяю, т.к. много ихних описаний уязвимостей встречал и эти исследователи себя хорошо зарекомендовали.

Касательно уязвимых серверов на Nginx, то ctar нашёл таковые. О чём он писал в комментариях у меня на сайте.

]]> від: MustLive http://websecurity.com.ua/4257/#comment-326455 Sat, 05 Jun 2010 20:12:00 +0000 http://websecurity.com.ua/4257/#comment-326455 <strong>Swiatoslav</strong> Другие исследователи (из Core Security Technologies), об исследовании которых я упоминал выше, также не упоминали, что дыра с использованием пробела касается только Win32 версии. То, что атака с использованием "8.3 alias" касается только win-серверов - это понятно, но вот касательно атаки с использованием пробела, вот здесь нужно было уточнить. Касательно других веб серверов они чётко писали, что это Windows-версии. <blockquote>“*Non-vulnerable packages* Nginx Web Server v0.8.33” неужели уязвимость всплыла через версию?</blockquote> Да, ребята из Core написали, что разработчик Nginx д.б. исправить эту уязвимость в v0.8.33. Возможно она не была тогда исправлена, или снова появилась в версии 0.8.34 или 0.8.35. И уже только в v0.8.36 разработчик её окончательно исправил. Swiatoslav

Другие исследователи (из Core Security Technologies), об исследовании которых я упоминал выше, также не упоминали, что дыра с использованием пробела касается только Win32 версии. То, что атака с использованием “8.3 alias” касается только win-серверов - это понятно, но вот касательно атаки с использованием пробела, вот здесь нужно было уточнить. Касательно других веб серверов они чётко писали, что это Windows-версии.

“*Non-vulnerable packages*
Nginx Web Server v0.8.33”
неужели уязвимость всплыла через версию?

Да, ребята из Core написали, что разработчик Nginx д.б. исправить эту уязвимость в v0.8.33. Возможно она не была тогда исправлена, или снова появилась в версии 0.8.34 или 0.8.35. И уже только в v0.8.36 разработчик её окончательно исправил.

]]> від: Im http://websecurity.com.ua/4257/#comment-326436 Sat, 05 Jun 2010 03:41:09 +0000 http://websecurity.com.ua/4257/#comment-326436 удалось найти хоть один пруф-линк?) удалось найти хоть один пруф-линк?)

]]> від: Swiatoslav http://websecurity.com.ua/4257/#comment-326400 Fri, 04 Jun 2010 08:36:15 +0000 http://websecurity.com.ua/4257/#comment-326400 вероятно, исследователь не указал, что это касается только windows-версии, использовать которую в продакшене я бы не стал. сам разработчик относится к ней как к бета. на линукс версии 0.8.35 не подтвердилось. по твоим ссылкам "*Non-vulnerable packages* Nginx Web Server v0.8.33 " неужели уязвимость всплыла через версию? вероятно, исследователь не указал, что это касается только windows-версии, использовать которую в продакшене я бы не стал. сам разработчик относится к ней как к бета. на линукс версии 0.8.35 не подтвердилось.
по твоим ссылкам
“*Non-vulnerable packages*
Nginx Web Server v0.8.33 ”
неужели уязвимость всплыла через версию?

]]>