Исходное сообщение
"Выпуск сервера приложений NGINX Unit 1.15.0" Отправлено Аноним, 11-Фев-20 12:40
Да, давайте посчитаем более-менее серьезные уязвимости за 18 лет существования nginx. Две штуки (потенциально серьезные, но на практике очень сложно эксплуатируемые, максимум что можно сделать - DoS) - в парсере HTTP. Такое можно найти в любом сколь-либо популярном веб-сервере, где парсинг HTTP максимально оптимизирован и код парсера нетривиален. Две штуки - в модуле spdy, который всегда был экспериментальным, а позднее на его основе был сделан http/2. Несколько DoS, неприятно, но прямой угрозой безопасности не является. Единственная реально эксплуатируемая уязвимость - в вечно экспериментальном и не используемом в production nginx/Windows, и та связана с тем, что в Windows миллион способов адресации того же файла.