科技·via @mubei·83.3 分·P80
18 年。 一个漏洞在全世界最普及的 Web 服务器里潜伏了 18 年。 最后把它揪出来的,是 AI。 说的是 NGIN…
18 年。 一个漏洞在全世界最普及的 Web 服务器里潜伏了 18 年。 最后把它揪出来的,是 AI。
说的是 NGINX。 几亿个网站的看门大爷。 现在,这个看门大爷的底裤被扒干净了。
这是一个致命的远程代码执行漏洞。 波及范围有多大? 从 0.6.27 版本一直横跨到 1.30.0 版本。
触发方式异常简单。 配置文件里的 rewrite 和 set 指令。 只要你的配置碰了这两个词,别人就能在你的机器上跑他的代码。
更要命的是,GitHub 上已经直接公开了 PoC 代码。 相当于不但告诉你这大楼门锁坏了,还顺手把万能钥匙挂在了村口的布告栏上。
还在跑老版本的,赶紧去更新。 这雷埋了 18 年,现在有人把图纸发全网了。