Удалённое выполнение кода в nginx
Известная исследовательница Алиса Шевченко alisaesage обнаружила уязвимость удаленного выполнения произвольного кода в последних версиях веб-сервера nginx.
Детали уязвимости пока не известны и держаться в тайне согласно 90-дневной политике неразглашения.
За историю nginx с 2009 года обнаружено всего порядка 20 уязвимостей, из них ни одной RCE. Стоимость такого рода уязвимостей:
— Zerodium — $200k
— ZDI TIP — $200k (fame included)
— legal non-public buyers: multiply above by a factor of 3++
Несмотря на то, что PoC и эксплойта нет в паблике не доверять словам Алисы нельзя — она давно зарекомендовала себя как отличный специалист (и даже находится в санкционном списке), а это значит что тысячи исследователей побегут исследовать исходный код nginx для выявления этой гром-баги до официального патча.
