服务公告

全部公告 > 安全公告 > Debian、Ubuntu发行版Nginx权限提升漏洞预警

Debian、Ubuntu发行版Nginx权限提升漏洞预警

2016-11-22

一、漏洞概述

近日,Nginx爆出了本地提权高危漏洞(漏洞编号:CVE-2016-1247),该漏洞主要影响Debian、Ubuntu系统用户,攻击者可利用该漏洞本地以低权限提升到root权限。

Debian、Ubuntu发行版的Nginx在新建日志目录的时,使用了不安全的权限,导致本地恶意攻击者可以从nginx/web用户权限(www-data)提升到ROOT权限。

官网说明:

https://security-tracker.debian.org/tracker/CVE-2016-1247

https://www.ubuntu.com/usn/usn-3114-1/

二、漏洞级别

漏洞级别:严重。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Debian 8(Jessie) 1.6.2-5+deb8u2;

Ubuntu 16.10 Nginx < 1.10.1-0ubuntu1.1;

Ubuntu 16.04 LTS < 1.10.0-0ubuntu0.16.04.3;

Ubuntu 14.04 LTS < 1.4.6-1ubuntu3.6.

四、验证方法

1. 查看操作系统版本,验证操作系统版本是否在受影响的列表中;

2. 使用“dpkg -l nginx”命令查看Nginx版本,验证Nginx版本是否在受影响的列表中;

五、安全建议

将Nginx升级至最新版本,升级命令如下:

sudo apt-get update;

sudo apt-get install nginx。

注意:升级前请将资料备份,并进行充分测试。



华为云客户服务中心
2016年11月22日

点我,12·12惊喜等着你哦~