The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода

20.10.2019 21:16

В http-сервере Nostromo (nhttpd) выявлена уязвимость (CVE-2019-16278), позволяющая атакующему удалённо выполнить свой код на сервере через отправку специально оформленного HTTP-запроса. Проблема будет устранена в выпуске 1.9.7 (ещё не опубликован). Судя по информации от поисковой системы Shodan http-сервер Nostromo используется примерно на 2000 публично доступных хостах.

Уязвимость вызвана ошибкой в функции http_verify, пропускающей обращение к содержимому файловой системы за пределами корневого каталога сайта через передачу в пути последовательности ".%0d./". Уязвимость проявляется так как проверка на наличие символов "../" производится до выполнения функции нормализации пути, в которой из строки удаляются символы перевода строки (%0d).

Для эксплуатации уязвимости можно обратиться к /bin/sh вместо CGI-скрипта и выполнить любую shell-конструкцию, отправив POST-запрос к URI "/.%0d./.%0d./.%0d./.%0d./bin/sh" и передав команды в теле запроса. Интересно, что в 2011 году в Nostromo уже была исправлена похожая уязвимость (CVE-2011-0751), которая позволяла атаковать через отправку запроса "/..%2f..%2f..%2fbin/sh".

  1. Главная ссылка к новости (https://www.sudokaikan.com/201...)
  2. OpenNews: HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети
  3. OpenNews: В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей
  4. OpenNews: Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости
  5. OpenNews: Уязвимость, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy
  6. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: nostromo
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:20, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Использую везде Apache. Стабильно, быстро, безопасно.
     
     
  • 2.15, анонимиус (?), 12:27, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пссс. Открою тебе секрет: Мало кто умеет готовить апчхач. Поэтому все эти неосиляторы орут, что он медленный, дырявый итд и срочно надо на nginx.

    Но чтобы приготовить апчхач надо всё-таки постараться, nginx работает более-менее удовлетворительно из коробки, реврайты в нём намного проще, чем у индейца. Да и проксирование организовать тоже намного проще в жинксе, чем у апача. Если не хочется терять время на раскуривание апача в проде, то берёшь nginx и раскуриваешь его.

    Заминка в том, что если ты берёшь apache httpd, то про mod_{perl,python,php} надо сразу же забыть. А формально это то, ради чего и поднимают апчхач. Кроме того, .htaccess/реврайты тоже работает более, чем странно, когда у нас на приложение идёт проксирование, то есть он тоже отпадает. Это вторая киллер-фича апача, ради которой ставят апач. Остальное настраивается более сложно/странно, чем в случае с nginx-ом.

    Собственно, если у тебя апач работает фронтом, кэширует или раздаёт статику и проксирует запросы в бэкэнд... то по скорости он +/- nginx, но, правда, по набору функций он победнее будет.

    Если у тебя httpd работает бэкэндом, то его роскошное api можно использовать для написания приложений на c/c++ и это будет работать очень быстро, но.... есть различные либы, которые умеют в fcgi/http и мультиплексирование и на основе этого можно сделать отличное приложение и в таком случае апач нам не понадобится.

    А с момента появления uwsgi-2.0.9 и nginx-unit апачовый passenger для рубей тоже отошёл в историю (в своё время это был единственный по-настоящему продовый в смысле предсказуемости поведения и производительности способ завести рубёвое приложение, но сейчас пассажир уходит в закат).

    В итоге, конечно, можно задействовать апач на проде и он будет работать и работать относительно быстро и надёжно. Но это непрактично, так как операционные расходы на поддержку апача как правило (но не всегда) выше, чем у того же nginx-а.

     
     
  • 3.19, Аноним (19), 22:46, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Медленный он при стоковой настройке динамики через mod_ и при работе со статико... текст свёрнут, показать
     
  • 2.17, Ilya Indigo (ok), 15:45, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ... Apache. Стабильно, быстро, безопасно.

    :s/быстро/медленно, прожорливо/

     

  • 1.2, DHCPep (?), 21:34, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я использую где-то Apache, где-то lighttpd, на стареньком дохлом ноуте для дачи - cherokee, но чаще всего они стоят за nginx'ом.
     
     
  • 2.5, ievoochielaPh5Ph (ok), 21:37, 20/10/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Везде использую nginx, даже на стареньком ноуте на даче. Он стоит сам по себе и за nginx не прячется :-D
     
     
  • 3.9, gogo (?), 23:49, 20/10/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В nginx завезли проверку симлинков? Ась? Нет?..
    Ну дык и не рассказывай сказки о его универсальности.
    Апач не умрет. Если nginx допилят до функциональности апача, то получится  еще один апач ;)

     
     
  • 4.10, ievoochielaPh5Ph (ok), 00:20, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Где я говорил про смерть индейца? Ты там боярки перебрал что ли?
    Просто индеец не нужен. Ты выдумываешь оправдания для использования этого монстра, а я его нажрался еще во времена 1.3 и с меня хватит, больше никогда.
     
  • 4.12, Нонон (?), 08:36, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что за симлинки и зачем оно нужно? Можно пример
     
     
  • 5.21, neAnonim (?), 02:10, 22/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ищи symlink и hardlink
    прошлый аноним некомпетентен, как и ты
     
     
  • 6.24, meulin (?), 08:49, 22/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо кэп, но вопрос в том, что не так у nginx с проверкой symlinks. Есть disable_symlinks if_not_owner.
     
  • 4.13, zxzx (?), 08:37, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно вкратце, что там не так с симлинками? (ну или что загуглить, а то поиск выдаёт или чушь то, что исправили ещё в 12-м году).
     
  • 4.25, XoRe (ok), 12:45, 22/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В nginx завезли проверку симлинков? Ась? Нет?..

    Да, именно это останавливает победное шествие nginx на все сервера планеты :-)

     

  • 1.3, urandon (?), 21:36, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    напоминает багу ~20 летней давности в iis на оффтопик-nt

    разрабов нестрёма на лесоповал

     
     
  • 2.22, Аноним (22), 07:09, 22/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да! Шикарная была тема! пидиси с открытой на нем же шарой и поднятым ииэсом... Мммм... )))Как говорится - был рад любому гостю и готов был отдаться ему немедленно!
     

  • 1.4, ievoochielaPh5Ph (ok), 21:36, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Его доля составляет 0%, опасности подверглись 0 пользователей по всему миру. Ужас и кошмар!
     
  • 1.6, Timoteo Cirkla (ok), 21:40, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Чужой который раз взял верх.
     
     
  • 2.14, анонимиус (?), 11:58, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
    Я-то думал, что за дежа-вю? Вспомнил, спасибо.
     
  • 2.23, Аноним (22), 07:11, 22/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нет, он там затаился... пока затаился...
     

  • 1.7, Аноним (7), 22:40, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > nhttpd is a simple, fast and secure HTTP server
    > secure
    > В http-сервере Nostromo (nhttpd) выявлена уязвимость
    > secure

    Орнул

     
  • 1.8, Аноним (8), 23:12, 20/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что это за треш? Его даже в дебиановских репах нет.
     
     
  • 2.16, abi (?), 13:00, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В портах опёнка зато есть http://ports.su/www/nostromo
    Назгул какой-то писал, судя по WWW
     
     
  • 3.18, OramahMaalhur (ok), 22:01, 21/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >nostromo-1.9.6 – simple, fast and secure HTTP server
    >secure
     

  • 1.20, Аноним (20), 22:50, 21/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    openlitespeed рулит
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру