安全性
所有 nginx 安全性問題都應報告至 F5SIRT@f5.com 或透過此處列出的方法之一進行報告。
修補程式使用PGP 公開金鑰之一進行簽署。
特殊考量
njs 不會以任何方式評估動態程式碼,尤其是從網路接收的程式碼。使用 njs 評估該程式碼的唯一方法是在 nginx 中設定 js_import 指令。JavaScript 程式碼在 nginx 啟動期間載入一次。
在 nginx/njs 威脅模型中,JavaScript 程式碼被視為可信任的來源,如同 nginx.conf 和網站憑證。這在實務上意味著
- 由 JavaScript 程式碼修改觸發的記憶體洩漏和其他安全性問題,不被視為安全性問題,而是普通的錯誤
- 應採取措施來保護 njs 使用的 JavaScript 程式碼
- 如果
nginx.conf中沒有 js_import 指令,則 nginx 可以免受與 JavaScript 相關的漏洞影響