那个nginx所谓的漏洞如何修复？

cuxian · 发表于 2010-5-21 13:46:10

是真的么？如何修复？

eudx · 发表于 2010-5-21 13:47:06

当然啦。漏洞下面直接说明了修补方法啊
修改NGINX.CONF

cuxian · 发表于 2010-5-21 13:48:01

代码是加到哪里的？
看的一头雾水

licess · 发表于 2010-5-21 13:52:07

http://www.vpser.net/manage/nginx-securit-script_filename.html

解决方案1：修改/usr/local/php/etc/php.ini将cgi.fix_pathinfo设为0 （注：前面可能有注释符号; 需要删除掉。），执行/usr/local/php/sbin/php-fpm restart重启。lnmp一键安装包用户可以直接执行命令：sed -i 's/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g' /usr/local/php/etc/php.ini 再执行：/usr/local/php/sbin/php-fpm restart重启即可修复完成。

Globalization · 发表于 2010-5-21 13:52:30

1、设置php.ini的cgi.fix_pathinfo为0，重启php。最方便，但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容，重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}

3、禁止上传目录解释PHP程序。不需要动webserver，如果vhost和服务器较多，短期内难度急剧上升；建议在vhost和服务器较少的情况下采用。

eudx · 发表于 2010-5-21 13:55:18

我用的是修改
SERVER段里的
if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}

楼主直接改PHP.INI 吧那个省事

cuxian · 发表于 2010-5-21 13:55:46

好的。谢了

cpuer · 发表于 2010-5-21 14:20:57

我也是用的这种办法

kydtf · 发表于 2010-5-21 14:36:29

是不是lighttpd的话就不会有这个漏洞了

Globalization · 发表于 2010-5-21 14:39:05

原帖由 kydtf 于 2010-5-21 14:36 发表
是不是lighttpd的话就不会有这个漏洞了

说lighttpd没问题，谁知道呢

		自动登录	找回密码
密码			注册

[nginx] 那个nginx所谓的漏洞如何修复？

回复 2# 的帖子

回复 6# 的帖子

回复 6# 的帖子