一、 漏洞 CVE-2013-2028 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
nginx中的ngx_http_parse_chunked函数存在漏洞,攻击者可以通过发送一个带有大块大小的chunked Transfer-Encoding请求来利用该漏洞,导致服务崩溃并执行任意代码。

## 影响版本
- nginx 1.3.9 至 1.4.0

## 漏洞细节
- 漏洞位于`http/ngx_http_parse.c`中的`ngx_http_parse_chunked`函数。
- 攻击者发送一个带有大块大小的chunked Transfer-Encoding请求。
- 该请求会触发一个整数符号错误,并导致基于堆栈的缓冲区溢出。

## 漏洞影响
- 服务崩溃(拒绝服务)
- 可能导致任意代码执行
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The ngx_http_parse_chunked function in http/ngx_http_parse.c in nginx 1.3.9 through 1.4.0 allows remote attackers to cause a denial of service (crash) and execute arbitrary code via a chunked Transfer-Encoding request with a large chunk size, which triggers an integer signedness error and a stack-based buffer overflow.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
F5 Nginx 缓冲区错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
F5 Nginx是美国F5公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。 F5 Nginx 1.3.9版本至1.4.0版本存在缓冲区错误漏洞。攻击者利用该漏洞导致系统拒绝服务或执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
缓冲区错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2013-2028 的公开POC
# POC 描述 源链接 神龙链接
1 For the analysis of CVE-2013-2028 https://github.com/danghvu/nginx-1.4.0 POC详情
2 Exploitation Training -- CVE-2013-2028: Nginx Stack Based Buffer Overflow https://github.com/kitctf/nginxpwn POC详情
3 this is not stable https://github.com/tachibana51/CVE-2013-2028-x64-bypass-ssp-and-pie-PoC POC详情
4 CVE-2013-2028 python exploit https://github.com/m4drat/CVE-2013-2028-Exploit POC详情
5 Dockerfile to build cve-2013-2028 container with centos6 and nginx https://github.com/mambroziak/docker-cve-2013-2028 POC详情
6 A CVE-2013-2028 implementation https://github.com/jptr218/nginxhack POC详情
7 CVE-2013-2028复现 https://github.com/Sunqiz/CVE-2013-2028-reproduction POC详情
8 Tool for checking Nginx CVE-2013-2028 https://github.com/xiw1ll/CVE-2013-2028_Checker POC详情
三、漏洞 CVE-2013-2028 的情报信息