NGINX njs 缓冲区错误漏洞安全通告
发布时间 2019-06-05漏洞编号和级别
CVE编号:CVE-2019-12208,危险级别:严重,CVSS分值:9.8
影响版本
受影响的版本
NGINX中使用的njs 0.3.1及之前版本
漏洞概述
NGINX是美国NGINX公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。njs是其中的一个支持扩展NGINX功能的脚本语言组件。
NGINX中使用的njs 0.3.1及之前版本的njs/njs_function.c文件的‘njs_function_native_call’函数存在基于堆的缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
漏洞验证
POC:https://github.com/nginx/njs/issues/163。
修复建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://nginx.org/ 。
参考链接
京公网安备11010802024551号