9/5/2013
Pogłoski sprzed kilku dni, jakoby w nginx znajdowała się dziura i że chińczycy wiedzą gdzie, a reszta świata nie, okazały się być tylko pogłoskami — dziury nie potwierdzono. Ale…
Nginx jednak dziurawy
Napięcie wywołane możliwością błędu w nginx skłoniło jednak niektórych do przeczesania jego kodu …dzięki czemu odkryto inny błąd — nie mniej groźny, bo pozwalający atakującemu na zdalne wykonanie dowolnego kodu (CVE-2013-2028).
Błąd dotyka nginx w wersjach 1.3.9 – 1.4.0. Developerzy już wydali poprawione edycje 1.4.1 i 1.5.0 — zachęcamy do aktualizacji lub obejścia w postaci dodania do bloku server następujących linijek:
if ($http_transfer_encoding ~* chunked) {
return 444;
}
Z serwera nginx korzysta obecnie 100M stron internetowych.
Analizując sposób wykrycia błędu można dowcipnie życzyć większej ilości nieprawdziwych doniesień o błędach bezpieczeństwa — wygląda na to, że tego typu pogłoski skłaniają niektórych do owocnego, ale przede wszystkim rzetelnego bughuntingu ;)
nie ma tego złego..
Jak ktoś używa debiana niech korzysta z repo dotdeb.org – oni już mają aktualną wersję ;)
http://www.dotdeb.org/2013/05/07/security-nginx-1-4-1/
W tym pliku http_parse.c jest też błąd w parsowaniu numeru wersji http, możliwe jest przekroczenie zakresu liczb (pola http_{minor,major,version}). Na pierwszy rzut oka nie wygląda groźnie, ale kto wie.
A skąd wiadomo że to nie był właśnie ten błąd, Chińczycy zaprzeczyli?:D