[系统安全] CVE-2016-1247：Debian/Ubuntu发行版Nginx本地提权漏洞 [复制链接]

电梯直达

1楼 [收藏(0)] [报告]

发表于 2016-11-19 13:49 |只看该作者 |倒序浏览

漏洞发现人：Dawid Golunski

CVE编号：CVE-2016-1247

发行日期：15.11.2016

安全级别：高

漏洞描述

Debian、Ubuntu发行版的Nginx在新建日志目录的时，使用了不安全的权限，因此本地恶意攻击者可以从nginx/web用户权限(www-data)提升到ROOT。

漏洞概要

Debian发行版的Nginx本地提权漏洞，该漏洞已经在1.6.2-5+deb8u3中修复

因为该漏洞细节是在官方修复后公布的，因此请低版本的Debian/ubuntu用户及时更新补丁：

补丁修复情况：

Debian: 在Nginx 1.6.2-5+deb8u3中修复

Ubuntu:

Ubuntu 16.04 LTS: 在1.10.0-0ubuntu0.16.04.3中修复

Ubuntu 14.04 LTS: 在1.4.6-1ubuntu3.6中修复

Ubuntu 16.10: 在1.10.1-0ubuntu1.1中修复

漏洞细节参考阅读 http://www.debian.cn/25.html