Hello!
On Fri, Dec 02, 2016 at 12:07:41PM -0500, itcod wrote:
> Обнаружил уязвимость. Надеюсь не я первый.... и уже есть таблетка.
> Команда DELETE (модуля WEBDAV) исполняется мастер-процессом nginx от
> пользователя root. Так как по умолчанию мастер-процесс стартует от рута для
> доступа к портам 80 & 443 (0-1024).
Master-процесс читает конфигурационные файлы и запускает рабочие
процессы. Именно рабочие процессы обрабатывают все
пользовательские запросы, и работают они от имени заданного в
конфиге пользователя.
Никакие пользовательские запросы в master-процесс не попадают, вы
ошибаетесь.
--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru