Эксперт исследовательского центра Positive Research компании Positive Technologies Владимир Кочетков обнаружил опасную уязвимость в приложении nginx. Уязвимость «Обход ограничений безопасности» была найдена в Windows-версиях программы (nginx 1.2.0 и 1.0.0). Ошибка позволяла злоумышленнику направлять HTTP-запросы к некоторым URL в обход правил, определённых в директивах location конфигурации веб-сервера. Конкретно, при сопоставлении URL запрошенного ресурса с локациями, определёнными в конфигурации веб-сервера, не учитывалась существующая в файловой системе NTFS возможность адресовать каталог с использованием расширенного синтаксиса через атрибут: $i30:$INDEX_ALLOCATION. Воспользовавшись недостаточной защищённостью nginx, потенциальный хакер мог получить доступ к исходному коду веб-приложения и закрытым разделам сайта, обнаружить новые уязвимости, украсть пароли подключения к базе данных и другим службам. Для устранения уязвимости необходимо обновить nginx до версии 1.3.1. Подробный список внесённых изменений приведён на официальном сайте разработчика по адресу: www.nginx.org/en/CHANGES. Nginx — это лёгкий и высокопроизводительный веб-сервер, написанный Игорем Сысоевым и быстро завоевавший популярность во всем мире. По данным Netcraft, он занимает второе место в мире по распространённости среди активных сайтов, уступая лишь Apache. Число ресурсов, использующих nginx, превышает 68 млн; среди них такие известные проекты, как Yandex, Rambler, Facebook, Mail.Ru, «Вконтакте», Wordpress.com, Rutracker.org и Groupon. Дата: 08.06.2012 http://www.xakep.ru/post/58824/