کارشناس امنیتی به نام Alice Shevchenko، یک آسیبپذیری در آخرین نسخه از وبسرور Nginx را گزارش داده و اطلاعات در این مورد را در میکروبلاگ توییتر خود منتشر شده است.
در حال حاضر، جزئیات فنی این آسیبپذیری نامعلوم است و زمان دقیق افشای آن نیز مشخص نشده است ( بروزرسانی میشود). شایان ذکر است که در سال گذشته شاهد رفع تعداد زیادی آسیبپذیری بحرانی منع سرویس در سرورهای Nginx بودیم. Nginx یک سرور پروکسی HTTP و معکوس، یک سرور پروکسی ایمیل و یک پروکسی سرور همه منظوره TCP/UDP است و برای مدت زمان طولانی، سرورهای با بارگذاری بالای بسیاری از سایتهای روسی مانند Yandex، Mail.Ru، VKontakte و Rambler از سرورهای Nginx استفاده کردهاند. طبق آمار Netcraft، سرورهای nginx در ماه می ۲۰۱۹، سرور حدود ۲۶ درصد از سایتهای بارگذاری شده بوده است. وبسرور Nginx در هستهی خود از یک زبان اسکریپتی با نام Njs پشتیبانی میکند که به کاربران اجازهی گسترش کارکرد nginx (مثل دستکاری سرآیندهای پاسخ و کنترل دسترسیهای یک درخواست HTTP قبل از اینکه به سرور بالادستی برسد) را میدهد. به نظر میرسد در ساختار این زبان، باگهای خطرناکی همچون Integer Overflow وجود دارد که تخریب حافظه Heap را در بر میدارد. این تهدید به مهاجمین امکان توسعهی اکسپلویت و دسترسی از راه دور را فراهم میآورد. پیشنهاد میشود که در اسرع وقت نسبت به بهروزرسانی، اقدامات لازم انجام شود.
بروز رسانی : https://github.com/nginx/njs/issues/159
منبع : مرکز آپا
