15:37
9/5/2013

Pogłoski sprzed kilku dni, jakoby w nginx znajdowała się dziura i że chińczycy wiedzą gdzie, a reszta świata nie, okazały się być tylko pogłoskami — dziury nie potwierdzono. Ale…

Nginx jednak dziurawy

Nginx

Nginx

Napięcie wywołane możliwością błędu w nginx skłoniło jednak niektórych do przeczesania jego kodu …dzięki czemu odkryto inny błąd — nie mniej groźny, bo pozwalający atakującemu na zdalne wykonanie dowolnego kodu (CVE-2013-2028).

Błąd dotyka nginx w wersjach 1.3.9 – 1.4.0. Developerzy już wydali poprawione edycje 1.4.1 i 1.5.0 — zachęcamy do aktualizacji lub obejścia w postaci dodania do bloku server następujących linijek:

if ($http_transfer_encoding ~* chunked) {
return 444;
}

Z serwera nginx korzysta obecnie 100M stron internetowych.

Analizując sposób wykrycia błędu można dowcipnie życzyć większej ilości nieprawdziwych doniesień o błędach bezpieczeństwa — wygląda na to, że tego typu pogłoski skłaniają niektórych do owocnego, ale przede wszystkim rzetelnego bughuntingu ;)

Przeczytaj także:

4 komentarzy

Dodaj komentarz
  1. nie ma tego złego..

  2. Jak ktoś używa debiana niech korzysta z repo dotdeb.org – oni już mają aktualną wersję ;)

    http://www.dotdeb.org/2013/05/07/security-nginx-1-4-1/

  3. W tym pliku http_parse.c jest też błąd w parsowaniu numeru wersji http, możliwe jest przekroczenie zakresu liczb (pola http_{minor,major,version}). Na pierwszy rzut oka nie wygląda groźnie, ale kto wie.

  4. A skąd wiadomo że to nie był właśnie ten błąd, Chińczycy zaprzeczyli?:D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.