Nginx 0day漏洞再现 山石网科快速提供解决方案

近日，Nginx 0day攻击爆发，很多网站、论坛遭到该漏洞的攻击，被上传木马，Hillstone山石网科发布快速解决方案，在新发布的IPS特征库中，已包含了针对该漏洞的攻击特征，通过在设备上自动升级即可有效规避此漏洞，更好地保护用户的系统。

Nginx是一个在业界颇受好评的高性能Web和反向代理服务器，由俄罗斯软件工程师Igor Sysoev开发，最早提供给俄罗斯大型的入口网站及搜寻引擎Rambler（俄文：Рамблер）使用，后作为开源代码提供给公众。由于Nginx系统占用内存少，并发能力强，在国内也拥有大量用户，知名用户如新浪、网易、 腾讯等门户网站和六房间、酷6等视频分享网站。

Ngnix在遇到“%00”空字节时与后端FastCGI处理不一致，导致访问者可以在图片中嵌入PHP代码然后通过访问“xxx.jpg%00.php”来执行其中的代码，这就使得那些允许上传文件的网站，比如论坛网站等，很容易遭到挂马攻击。

该漏洞影响的版本包括：Nginx 0.5.*、Nginx 0.6.*、Nginx 0.7-> Nginx 0.7.65、Nginx 0.8-> Nginx 0.8.37。值得注意的是，虽然Nginx单独的模块具备过滤“%00”空字节的能力，但并不是所有的模块都具备这个能力，譬如FastCGI，其主要行为是将CGI解释器进程保持在内存中并因此获得较高的性能，默认情况下允许URIs中包含 “%00”空字节，而FastCGI在各版本Nginx中被广泛使用，因此此次漏洞对包含FastCGI的版本均有影响。

Hillstone山石网科再次提醒用户对IPS特征库进行紧急升级，查询链接：
http://www.hillstonenet.com.cn/cms/services/ips/