کارشناس امنیتی به نام Alice Shevchenko، یک آسیب‌پذیری در آخرین نسخه از وب‌سرور Nginx را گزارش داده و اطلاعات در این مورد را در میکروبلاگ توییتر خود منتشر شده است.

در حال حاضر، جزئیات فنی این آسیب‌پذیری نامعلوم است و زمان دقیق افشای آن نیز مشخص نشده است ( بروزرسانی میشود). شایان ذکر است که در سال گذشته شاهد رفع تعداد زیادی آسیب‌پذیری بحرانی منع سرویس در سرورهای Nginx بودیم. Nginx یک سرور پروکسی HTTP و معکوس، یک سرور پروکسی ایمیل و یک پروکسی سرور همه منظوره TCP/UDP است و برای مدت زمان طولانی، سرورهای با بارگذاری بالای بسیاری از سایت‌های روسی مانند Yandex، Mail.Ru، VKontakte و Rambler از سرورهای Nginx استفاده کرده‌اند. طبق آمار Netcraft، سرورهای nginx در ماه می ۲۰۱۹، سرور حدود ۲۶ درصد از سایت‌های بارگذاری شده بوده ‌است. وب‌سرور Nginx در هسته‌ی خود از یک زبان اسکریپتی با نام Njs پشتیبانی می‌کند که به کاربران اجازه‌ی گسترش کارکرد nginx (مثل دستکاری سرآیندهای پاسخ و کنترل دسترسی‌های یک درخواست HTTP قبل از اینکه به سرور بالادستی برسد) را می‌دهد. به نظر می‌رسد در ساختار این زبان، باگ‌های خطرناکی همچون Integer Overflow وجود دارد که تخریب حافظه Heap را در بر می‌دارد. این تهدید به مهاجمین امکان توسعه‌ی اکسپلویت و دسترسی از راه دور را فراهم می‌آورد. پیشنهاد می‌شود که در اسرع وقت نسبت به به‌روزرسانی، اقدامات لازم انجام شود.

بروز رسانی : https://github.com/nginx/njs/issues/159

 

منبع : مرکز آپا