一 漏洞概述

2020年03月18日，openwall oss-security 邮件组披露了两枚漏洞。在特定配置下 nginx/openresty 存在内存泄漏漏洞/目录穿越漏洞。

Nginx 是异步框架的网页服务器，也可以用作反向代理、负载平衡器和 HTTP 缓存。

OpenResty 是一个基于 nginx 的 Web 平台，它对 nginx 增加 LuaJIT 引擎使其运行 Lua 脚本。

该两枚漏洞均需要特定配置方可触发。

二 影响版本

nginx <= v1.17.7 (commit af8ea176a743e97d767b3e1439d549b52dd0367a)

openresty <= v1.15.8.2

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “nginx” 进行搜索，共得到 114,765,561 条 历史记录，主要分布在美国、中国等国家。

 

根据 ZoomEye 网络空间搜索引擎对关键字 “openresty” 进行搜索，共得到 5,175,855 条 历史记录，主要分布在美国、中国等国家。

五 修复建议

nginx 用户更新到 v1.17.9 或应用 commit a5895eb502747f396d3901a948834cd87d5fb0c3

openresty 用户排查配置文件中 rewrite 以及 ngx.req.set_uri 建议临时禁用相关配置

 

六 相关链接

ZoomEye：https://www.zoomeye.org/searchResult?q=nginx

                https://www.zoomeye.org/searchResult?q=openresty