首頁 > 安全研究 > 安全通報 > 安全通告

NGINX njs 緩沖區錯誤漏洞安全通告

發布時間 2019-06-05

漏洞編號和級別


CVE編號:CVE-2019-12208,危險級別:嚴重,CVSS分值:9.8


影響版本


受影響的版本


NGINX中使用的njs 0.3.1及之前版本


漏洞概述


NGINX是美國NGINX公司的一款輕量級Web服務器/反向代理服務器及電子郵件(IMAP/POP3)代理服務器。njs是其中的一個支持擴展NGINX功能的腳本語言組件。


NGINX中使用的njs 0.3.1及之前版本的njs/njs_function.c文件的‘njs_function_native_call’函數存在基于堆的緩沖區溢出漏洞。該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。 


漏洞驗證


POC:https://github.com/nginx/njs/issues/163。


修復建議


目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:https://nginx.org/ 。


參考鏈接


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-806


上一篇 下一篇