根據伺服器回應標頭中自我報告的版本，已安裝的 nginx 版本比 0.8.41 新，但比 1.4.4 / 1.5.7 舊。因此，當要求 URI 結尾處有空格的檔案時，會受到繞過「ngx_http_parse.c」中安全性弱點的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

已修正 nginx Webserver，以避免未正確逸出空間時發生限制繞過。(CVE-2013-4547)

在 openSUSE 12.2 上，nginx 已更新至 1.4.4 穩定版本。

- CVE-2013-4547 未正確處理要求行中未逸出空格後面的一個字元 [bnc#851295]

- 錯誤修正：spdy 模組中可能發生分割錯誤

- 錯誤修正：如果「try_files」指示詞與空白參數搭配使用，可能在啟動時發生分割錯誤。

0.8.41 至 1.4.3 版和 1.5.7 之前的 1.5.x 版 nginx，允許遠端攻擊者透過 URI 中的未逸出空白字元繞過預定的限制。

已修正 nginx Webserver，以避免未正確逸出空間時發生限制繞過。(CVE-2013-4547)

Google 安全性團隊的 Ivan Fratric 發現 nginx (一種 Web 伺服器) 中有一個錯誤，可能允許攻擊者使用特製的要求繞過安全性限制。

舊的穩定發行版本 (squeeze) 不會受此問題影響。

nginx 專案報告：

Google 安全性團隊的 Ivan Fratric 發現 nginx 中有一個錯誤，該錯誤可能允許攻擊者使用特製的要求來繞過特定組態的安全性限制，也有可能造成其他潛在影響 (CVE-2013-4547)。

根據伺服器回應標頭中自我報告的版本，已安裝的 nginx 版本比 0.8.41 新，但比 1.4.4 / 1.5.7 舊。因此，當要求 URI 結尾處有空格的檔案時，會受到繞過「ngx_http_parse.c」中安全性弱點的影響。

更新版 nginx 套件可修正安全性弱點：

Google 安全性團隊的 Ivan Fratric 發現 nginx 中有一個錯誤，該錯誤可能允許攻擊者使用特製的要求來繞過特定組態的安全性限制，也有可能造成其他潛在影響 (CVE-2013-4547)。

- 最新版本的更新

- 上游變更記錄可至以下網站取得：http://nginx.org/en/CHANGES-1.4

- 安全性修正 BZ 1032267

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	產品	系列	已發布	已更新	嚴重性
98953	Nginx < 1.4.4 ngx_parse_http 安全性繞過	Web App Scanning	Component Vulnerability	2018/11/5	2024/1/3	critical
98952	Nginx < 1.5.7 ngx_parse_http 安全性繞過	Web App Scanning	Component Vulnerability	2018/11/5	2024/1/3	critical
75210	openSUSE 安全性更新：nginx (openSUSE-SU-2013:1745-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
71266	Amazon Linux AMI : nginx (ALAS-2013-249)	Nessus	Amazon Linux Local Security Checks	2013/12/10	2018/4/18	high
75218	openSUSE 安全性更新：nginx-1.0 (openSUSE-SU-2013:1791-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
71055	Debian DSA-2802-1：nginx - 限制繞過	Nessus	Debian Local Security Checks	2013/11/25	2021/1/11	high
70965	FreeBSD：nginx -- 要求行剖析弱點 (94b6264a-5140-11e3-8b22-f0def16c5c1b)	Nessus	FreeBSD Local Security Checks	2013/11/20	2021/1/6	high
71117	繞過 nginx < 1.4.4 / 1.5.7 ngx_parse_http 安全性	Nessus	Web Servers	2013/11/27	2022/4/11	high
71076	Mandriva Linux 安全性公告：nginx (MDVSA-2013:281)	Nessus	Mandriva Local Security Checks	2013/11/25	2021/1/6	high
71147	Fedora 19 : nginx-1.4.4-1.fc19 (2013-21826)	Nessus	Fedora Local Security Checks	2013/12/2	2021/1/11	high
71405	Fedora 20 : nginx-1.4.4-1.fc20 (2013-22026)	Nessus	Fedora Local Security Checks	2013/12/14	2021/1/11	high

偵測

搜尋 Plugin

critical

critical

high

high

high

high

high

high

high

high

high