Nginx 'access.log'不安全文件权限漏洞

CVE编号

CVE-2013-0337

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-10-27

漏洞描述

Igor Sysoev nginx是一款流行的HTTP服务程序。Igor Sysoev nginx不安全创建'access.log'文件，允许本地攻击者利用漏洞获取敏感信息。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://secunia.com/advisories/55181
http://security.gentoo.org/glsa/glsa-201310-04.xml
http://www.openwall.com/lists/oss-security/2013/02/21/15
http://www.openwall.com/lists/oss-security/2013/02/22/1
http://www.openwall.com/lists/oss-security/2013/02/24/1

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	nginx	nginx	*		Up to (including) 1.3.13
	运行在以下环境
	应用	nginx	nginx	1.0.0	-
	运行在以下环境
	应用	nginx	nginx	1.0.1	-
	运行在以下环境
	应用	nginx	nginx	1.0.10	-
	运行在以下环境
	应用	nginx	nginx	1.0.11	-
	运行在以下环境
	应用	nginx	nginx	1.0.12	-
	运行在以下环境
	应用	nginx	nginx	1.0.13	-
	运行在以下环境
	应用	nginx	nginx	1.0.14	-
	运行在以下环境
	应用	nginx	nginx	1.0.15	-
	运行在以下环境
	应用	nginx	nginx	1.0.2	-
	运行在以下环境
	应用	nginx	nginx	1.0.3	-
	运行在以下环境
	应用	nginx	nginx	1.0.4	-
	运行在以下环境
	应用	nginx	nginx	1.0.5	-
	运行在以下环境
	应用	nginx	nginx	1.0.6	-
	运行在以下环境
	应用	nginx	nginx	1.0.7	-
	运行在以下环境
	应用	nginx	nginx	1.0.8	-
	运行在以下环境
	应用	nginx	nginx	1.0.9	-
	运行在以下环境
	应用	nginx	nginx	1.1.0	-
	运行在以下环境
	应用	nginx	nginx	1.1.1	-
	运行在以下环境
	应用	nginx	nginx	1.1.10	-
	运行在以下环境
	应用	nginx	nginx	1.1.11	-
	运行在以下环境
	应用	nginx	nginx	1.1.12	-
	运行在以下环境
	应用	nginx	nginx	1.1.13	-
	运行在以下环境
	应用	nginx	nginx	1.1.14	-
	运行在以下环境
	应用	nginx	nginx	1.1.15	-
	运行在以下环境
	应用	nginx	nginx	1.1.16	-
	运行在以下环境
	应用	nginx	nginx	1.1.17	-
	运行在以下环境
	应用	nginx	nginx	1.1.18	-
	运行在以下环境
	应用	nginx	nginx	1.1.19	-
	运行在以下环境
	应用	nginx	nginx	1.1.2	-
	运行在以下环境
	应用	nginx	nginx	1.1.3	-
	运行在以下环境
应用	nginx	nginx	1.1.4	-
运行在以下环境
应用	nginx	nginx	1.1.5	-
运行在以下环境
应用	nginx	nginx	1.1.6	-
运行在以下环境
应用	nginx	nginx	1.1.7	-
运行在以下环境
应用	nginx	nginx	1.1.8	-
运行在以下环境
应用	nginx	nginx	1.1.9	-
运行在以下环境
应用	nginx	nginx	1.2.0	-
运行在以下环境
应用	nginx	nginx	1.3.0	-
运行在以下环境
应用	nginx	nginx	1.3.1	-
运行在以下环境
应用	nginx	nginx	1.3.10	-
运行在以下环境
应用	nginx	nginx	1.3.11	-
运行在以下环境
应用	nginx	nginx	1.3.12	-
运行在以下环境
应用	nginx	nginx	1.3.2	-
运行在以下环境
应用	nginx	nginx	1.3.3	-
运行在以下环境
应用	nginx	nginx	1.3.4	-
运行在以下环境
应用	nginx	nginx	1.3.5	-
运行在以下环境
应用	nginx	nginx	1.3.6	-
运行在以下环境
应用	nginx	nginx	1.3.7	-
运行在以下环境
应用	nginx	nginx	1.3.8	-
运行在以下环境
应用	nginx	nginx	1.3.9	-
运行在以下环境
系统	debian_10	nginx	*		Up to (excluding) 1.14.2-2+deb10u4
运行在以下环境
系统	debian_11	nginx	*		Up to (excluding) 1.18.0-6.1
运行在以下环境
系统	debian_12	nginx	*		Up to (excluding) 1.18.0-6.1
运行在以下环境
系统	debian_9	nginx	*		Up to (excluding) 1.10.3-1+deb9u4
运行在以下环境
系统	debian_sid	nginx	*		Up to (excluding) 1.18.0-8
运行在以下环境
系统	fedora_EPEL_5	nginx	*		Up to (excluding) 0.8.55-3.el5
运行在以下环境
系统	fedora_EPEL_6	nginx	*		Up to (excluding) 1.0.15-4.el6

攻击路径本地
攻击复杂度复杂
权限要求普通权限
影响范围越权影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制

正文

Nginx 'access.log'不安全文件权限漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]