近日，Nginx爆出了本地提权高危漏洞（漏洞编号：CVE-2016-1247），该漏洞主要影响Debian、Ubuntu系统用户，攻击者可利用该漏洞本地以低权限提升到root权限。

Debian、Ubuntu发行版的Nginx在新建日志目录的时，使用了不安全的权限，导致本地恶意攻击者可以从nginx/web用户权限(www-data)提升到ROOT权限。

官网说明：

https://security-tracker.debian.org/tracker/CVE-2016-1247

https://www.ubuntu.com/usn/usn-3114-1/

二、漏洞级别

漏洞级别：严重。

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

Debian 8(Jessie) 1.6.2-5+deb8u2;

Ubuntu 16.10 Nginx < 1.10.1-0ubuntu1.1;

Ubuntu 16.04 LTS < 1.10.0-0ubuntu0.16.04.3;

Ubuntu 14.04 LTS < 1.4.6-1ubuntu3.6.

四、验证方法

1. 查看操作系统版本，验证操作系统版本是否在受影响的列表中；

2. 使用“dpkg -l nginx”命令查看Nginx版本，验证Nginx版本是否在受影响的列表中；

五、安全建议

将Nginx升级至最新版本，升级命令如下：

sudo apt-get update;

sudo apt-get install nginx。

注意：升级前请将资料备份，并进行充分测试。