nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP代理服务器。近年来越来越多的网站管理员放弃了臃肿的Apache而选用nginx，不过看起来一直广受好评的nginx最近遇到了不小的麻烦，国内一个名为“80sec"的小组发现了nginx的一个巨大漏洞。

国内安全小组发现惊天漏洞

“80sec”小组于5.20日下午6点发布了一个关于nginx的漏洞通告，表示由于该漏洞的存在，使用nginx+php构建的网站都会因此变得不再安全，只要用户拥有上传图片的权限，就可以利用此漏洞轻松入侵网站服务器，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁。

根据Netcraft的统计，直到2010年4月，全球一共有1300万台服务器运行着nginx程序；非常保守的估计，其中至少有600万台服务器运行着nginx并启用了php支持；继续保守的估计，其中有1/6，也就是100万台服务器允许用户上传图片。也就是说，如果本次的nginx漏洞被别有用心的人利用，后果不堪设想。

全球至少有1300万台服务器运行着nginx

黑客蠢蠢欲动

“80sec”小组在其博客表示，截止到现在已经有不少的网站被黑客恶意入侵，而且据称已经有黑客组织写好了扫描器，准备“从排名大，流量多，PR大的站开始扫描”

临时性解决方法

鉴于nginx官方还没有发布相关修复措施，发现此漏洞的“80sec”小组已经提供了一些临时解决方法。

1，修改php.ini文件

设置php.ini的cgi.fix_pathinfo为0，重启php服务。这是最方便的方法，但是网站的一些功能可能会受到影响。

2，修改nginx配置文件

对nginx的vhost配置进行修改，禁止相关操作，然后重新启动nginx服务。

3，关闭上传功能

临时性关闭网站中的所有上传功能，包括禁止论坛上传头像之类的权限，等待官方发布对此漏洞的修复措施。