forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление nginx 1.4.4 с устранением  уязвимости"
Отправлено opennews, 20-Ноя-13 10:45

Выпущены внеплановое обновление стабильной ветки http-сервера nginx 1.4.4 (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) и экспериментальный выпуск nginx 1.5.7 (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) в которых устранена  уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) (CVE-2013-4547), позволяющая обойти ограничения доступа к закрытым областям сайта, при наличии на сервере директорий c именем, заканчивающимся на символ пробела. Проблема выявлена командой Google Security Team и проявляется во всех выпусках начиная с версии 0.8.41.

Суть проблемы сводится к возможности обхода блоков "location" через косвенное обращения к ресурсу с использованием разрешённой директории с пробелом в конце имени. В частности, если на сервере публично доступна директория "foo " и закрыт доступ к директории "protected" с использованием правила "location /protected/ { deny all; }", то получить доступ к содержимому директории "protected" можно отправив запрос "/foo /../protected/file" вместо "/protected/fire".  Другим проявлением может стать возможность обращения в форме "/file \0.php" к скриптам с пробелом в имени при наличии правила  "location ~ \.php$ { }".

При отправке таких запросов, сервер ограничивается проверкой маски в блоке до неэкранированного пробела. Причиной уязвимости является добавленный в версии nginx 0.8.41 код для обеспечения совместимости с некоторыми проблемными клиентскими приложениями, допускающий использование неэкранированных пробелов в URI, несмотря на недопустимость таких символов в протоколе HTTP (в URI должен фигурировать "%20", а не " ").

Пользователям прошлых версий nginx предложено можно использовать патч (http://nginx.org/download/patch.2013.space.txt) или заблокировать проявление проблемы обходным путём, добавив в блок server{} конфигурации:

<font color="#461b7e">
    if ($request_uri ~ " ") {
        return 444;
    }
</font>

URL: http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38478

Исходное сообщение
"Обновление nginx 1.4.4 с устранением уязвимости" Отправлено opennews, 20-Ноя-13 10:45
Выпущены внеплановое обновление стабильной ветки http-сервера nginx 1.4.4 (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) и экспериментальный выпуск nginx 1.5.7 (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) в которых устранена уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) (CVE-2013-4547), позволяющая обойти ограничения доступа к закрытым областям сайта, при наличии на сервере директорий c именем, заканчивающимся на символ пробела. Проблема выявлена командой Google Security Team и проявляется во всех выпусках начиная с версии 0.8.41. Суть проблемы сводится к возможности обхода блоков "location" через косвенное обращения к ресурсу с использованием разрешённой директории с пробелом в конце имени. В частности, если на сервере публично доступна директория "foo " и закрыт доступ к директории "protected" с использованием правила "location /protected/ { deny all; }", то получить доступ к содержимому директории "protected" можно отправив запрос "/foo /../protected/file" вместо "/protected/fire". Другим проявлением может стать возможность обращения в форме "/file \0.php" к скриптам с пробелом в имени при наличии правила "location ~ \.php$ { }". При отправке таких запросов, сервер ограничивается проверкой маски в блоке до неэкранированного пробела. Причиной уязвимости является добавленный в версии nginx 0.8.41 код для обеспечения совместимости с некоторыми проблемными клиентскими приложениями, допускающий использование неэкранированных пробелов в URI, несмотря на недопустимость таких символов в протоколе HTTP (в URI должен фигурировать "%20", а не " "). Пользователям прошлых версий nginx предложено можно использовать патч (http://nginx.org/download/patch.2013.space.txt) или заблокировать проявление проблемы обходным путём, добавив в блок server{} конфигурации: <font color="#461b7e"> if ($request_uri ~ " ") { return 444; } </font> URL: http://mailman.nginx.org/pipermail/nginx-announce/2013/00012... Новость: https://www.opennet.ru/opennews/art.shtml?num=38478

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Выпущены внеплановое обновление стабильной ветки http-сервера nginx 1.4.4 (http://mailman.nginx.org/pipermail/nginx-announce/2013/000124.html) 
> и экспериментальный выпуск nginx 1.5.7 (http://mailman.nginx.org/pipermail/nginx-announce/2013/000123.html) 
> в которых устранена  уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.html) 
> (CVE-2013-4547), позволяющая обойти ограничения доступа к закрытым областям сайта, при 
> наличии на сервере директорий c именем, заканчивающимся на символ пробела. Проблема 
> выявлена командой Google Security Team и проявляется во всех выпусках начиная 
> с версии 0.8.41.

> Суть проблемы сводится к возможности обхода блоков "location" через косвенное обращения 
> к ресурсу с использованием разрешённой директории с пробелом в конце имени. 
> В частности, если на сервере публично доступна директория "foo " и 
> закрыт доступ к директории "protected" с использованием правила "location /protected/ 
> { deny all; }", то получить доступ к содержимому директории "protected" 
> можно отправив запрос "/foo /../protected/file" вместо "/protected/fire".  Другим проявлением 
> может стать возможность обращения в форме "/file \0.php" к скриптам с 
> пробелом в имени при наличии правила  "location ~ \.php$ { 
> }".

> При отправке таких запросов, сервер ограничивается проверкой маски в блоке до неэкранированного 
> пробела. Причиной уязвимости является добавленный в версии nginx 0.8.41 код для 
> обеспечения совместимости с некоторыми проблемными клиентскими приложениями, допускающий 
> использование неэкранированных пробелов в URI, несмотря на недопустимость таких символов 
> в протоколе HTTP (в URI должен фигурировать "%20", а не " 
> ").

> Пользователям прошлых версий nginx предложено можно использовать патч (http://nginx.org/download/patch.2013.space.txt) 
> или заблокировать проявление проблемы обходным путём, добавив в блок server{} конфигурации:

> <font color="#461b7e"> 
>     if ($request_uri ~ " ") { 
>         return 444; 
>     } 
> </font>

> URL: http://mailman.nginx.org/pipermail/nginx-announce/2013/000124.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=38478

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру