The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление nginx 1.4.4 с устранением  уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от opennews (ok) on 20-Ноя-13, 10:45 
Выпущены внеплановое обновление стабильной ветки http-сервера nginx 1.4.4 (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) и экспериментальный выпуск nginx 1.5.7 (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) в которых устранена  уязвимость (http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...) (CVE-2013-4547), позволяющая обойти ограничения доступа к закрытым областям сайта, при наличии на сервере директорий c именем, заканчивающимся на символ пробела. Проблема выявлена командой Google Security Team и проявляется во всех выпусках начиная с версии 0.8.41.


Суть проблемы сводится к возможности обхода блоков "location" через косвенное обращения к ресурсу с использованием разрешённой директории с пробелом в конце имени. В частности, если на сервере публично доступна директория "foo " и закрыт доступ к директории "protected" с использованием правила "location /protected/ { deny all; }", то получить доступ к содержимому директории "protected" можно отправив запрос "/foo /../protected/file" вместо "/protected/fire".  Другим проявлением может стать возможность обращения в форме "/file \0.php" к скриптам с пробелом в имени при наличии правила  "location ~ \.php$ { }".


При отправке таких запросов, сервер ограничивается проверкой маски в блоке до неэкранированного пробела. Причиной уязвимости является добавленный в версии nginx 0.8.41 код для обеспечения совместимости с некоторыми проблемными клиентскими приложениями, допускающий использование неэкранированных пробелов в URI, несмотря на недопустимость таких символов в протоколе HTTP (в URI должен фигурировать "%20", а не " ").


Пользователям прошлых версий nginx предложено можно использовать патч (http://nginx.org/download/patch.2013.space.txt) или заблокировать проявление проблемы обходным путём, добавив в блок server{} конфигурации:


<font color="#461b7e">
    if ($request_uri ~ " ") {
        return 444;
    }
</font>


URL: http://mailman.nginx.org/pipermail/nginx-announce/2013/00012...
Новость: http://www.opennet.me/opennews/art.shtml?num=38478

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от SpiritOfStallman (ok) on 20-Ноя-13, 10:45 
>"/foo /../protected/file"

А разве не грамотно игнорировать[запрещать] фишки, по типу ".."?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 10:53 
а разве их кто-то запрещает?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 10:49 
использовать пробелы в конце имён файлов это лал
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 11:31 
> использовать пробелы в конце имён файлов это лал

Погляди спецификации WPAD и то, как яббло работает с именами wpad-файлов, например.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от гость on 20-Ноя-13, 12:42 
>> использовать пробелы в конце имён файлов это лал
> Погляди спецификации WPAD и то, как яббло работает с именами wpad-файлов, например.

Поясни, что не так, если не сложно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление nginx 1.4.4 с устранением  уязвимости"  –2 +/
Сообщение от pro100master (ok) on 20-Ноя-13, 13:25 
а при чем здесь имена файлов и пробелы? Проблема совершенно в другом, а именно, в некорректной обработке \0 с выходом на произвольный файл (т.е. имя может быть любым, какое захочет атакующий) в document_root. И само имя файла вообще не при делах, т.к. атака может быть через curl или другой софт :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от angra (ok) on 20-Ноя-13, 22:21 
Попробуй новость почитать. Уязвимость именно с наличием пробелов, а не \0.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

4. "Обновление nginx 1.4.4 с устранением  уязвимости"  +4 +/
Сообщение от Xaionaro (ok) on 20-Ноя-13, 11:29 
IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от Аноним (??) on 20-Ноя-13, 11:41 
> IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.

А с иероглифами можно? Если да, то почему с кириллицей нельзя? Если нет - то почему список не полный? ;)


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Xaionaro (ok) on 20-Ноя-13, 17:48 
>> IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.
> А с иероглифами можно? Если да, то почему с кириллицей нельзя? Если
> нет - то почему список не полный? ;)

Я ж написал:

> и прочими приблудами.

Сюда и иероглифы входят и другие приблуды :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Обновление nginx 1.4.4 с устранением  уязвимости"  +2 +/
Сообщение от гость on 20-Ноя-13, 12:42 
Истинно правоверными являются только 0 и 1.
Всё остальное - напыщенные излишества.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от asand3r on 20-Ноя-13, 13:12 
"Есть только 0 и 1. Всё остальное от лукавого" (с) по-моему bash.org.ru =)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Обновление nginx 1.4.4 с устранением  уязвимости"  +7 +/
Сообщение от pavlinux (ok) on 20-Ноя-13, 15:17 
Есть высокий потенциал на проводнике и низкий, а 0 и 1 придумали ботаны!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от Аноним (??) on 21-Ноя-13, 02:35 
> Есть высокий потенциал на проводнике и низкий, а 0 и 1 придумали ботаны!

А как насчет дифференциальных линий? У USB например имеет смысл только состояние 2 проводников сразу. И состояний, очевидно, 4. А есть например Ethernet. У него так вообще несколько уровней напряжения в проводнике имеется. Это, конечно, придумали ботаны. Но ты этим пользуешься.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от pavlinux (ok) on 21-Ноя-13, 22:59 
>> Есть высокий потенциал на проводнике и низкий, а 0 и 1 придумали ботаны!
> А как насчет дифференциальных линий? У USB например имеет смысл только состояние
> 2 проводников сразу. И состояний, очевидно, 4. А есть например Ethernet.
> У него так вообще несколько уровней напряжения в проводнике имеется.

Пля, прикинь а на оптике ваще фотоны летают, с разными длинами волн, и че?!
Как это связано с Логикой?


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Аноним (??) on 22-Ноя-13, 13:36 
> Как это связано с Логикой?

Ну вот так. Ты сам полез коррелировать логику с уровнями напряжений. А я намекнул что с ними не все так просто. Скажем как тебе 4B3T? Где пачка из 4 бита за раз конвертится в три трехуровневых состояния :). А один бит при таком кодировании - вообще не существует как состояние линии. Обломись, да? Еще веселее схемы с предысторией :).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

21. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от Aesthetus Animus (ok) on 21-Ноя-13, 02:08 
> IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.

http://ru.wiktionary.org/wiki/моветон

Что в этом плохого?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от Xaionaro (ok) on 21-Ноя-13, 15:37 
>> IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.
> http://ru.wiktionary.org/wiki/моветон

Я знаю что такое "моветон", не надо меня в словарь тыкать :)

> Что в этом плохого?

Просто на опыте. Использование всякой такой шняги приводит к неожиданным багам (как в функциональном плане, так и в плане безопасности). И это общеизвестно (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно далеко идти не надо - смотри текст новости :). И, IMHO, каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости частично сам виноват в последствиях.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Обновление nginx 1.4.4 с устранением  уязвимости"  –1 +/
Сообщение от pavel_simple (ok) on 21-Ноя-13, 15:49 
>>> IMHO, вообще моветон использовать имена файлов с кириллицой, пробелами и прочими приблудами.
>> http://ru.wiktionary.org/wiki/моветон
> Я знаю что такое "моветон", не надо меня в словарь тыкать :)
>> Что в этом плохого?
> Просто на опыте. Использование всякой такой шняги приводит к неожиданным багам (как
> в функциональном плане, так и в плане безопасности). И это общеизвестно
> (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно
> далеко идти не надо - смотри текст новости :). И, IMHO,
> каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости
> частично сам виноват в последствиях.

ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять чтобы не мучались. Понапридумывали понимаиишшш всяких букав.

Да и китайцев с японцами и арабов до кучи.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от Xaionaro (ok) on 21-Ноя-13, 20:59 
>[оверквотинг удален]
>> Я знаю что такое "моветон", не надо меня в словарь тыкать :)
>>> Что в этом плохого?
>> Просто на опыте. Использование всякой такой шняги приводит к неожиданным багам (как
>> в функциональном плане, так и в плане безопасности). И это общеизвестно
>> (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно
>> далеко идти не надо - смотри текст новости :). И, IMHO,
>> каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости
>> частично сам виноват в последствиях.
> ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять
> чтобы не мучались. Понапридумывали понимаиишшш всяких букав.

Их дело. Хотят - пусть мучаются.

Кстати говоря, я был против введения локализованных доменных имён. Но их тоже ввели. Чего уж тут поделать? :)


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Обновление nginx 1.4.4 с устранением  уязвимости"  –1 +/
Сообщение от pavel_simple (ok) on 22-Ноя-13, 07:16 
>[оверквотинг удален]
>>> в функциональном плане, так и в плане безопасности). И это общеизвестно
>>> (а кому не известно, с опытом работы сам поймёт, IMHO). Собственно
>>> далеко идти не надо - смотри текст новости :). И, IMHO,
>>> каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости
>>> частично сам виноват в последствиях.
>> ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять
>> чтобы не мучались. Понапридумывали понимаиишшш всяких букав.
> Их дело. Хотят - пусть мучаются.
> Кстати говоря, я был против введения локализованных доменных имён. Но их тоже
> ввели. Чего уж тут поделать? :)

это был сарказм если чё -- но ты себя не ограничивай пиши на наши отупнеты транслитом.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Xaionaro (ok) on 22-Ноя-13, 13:58 
>[оверквотинг удален]
>>>> далеко идти не надо - смотри текст новости :). И, IMHO,
>>>> каждый кто несмотря на это использует кириллицу, пробелы и прочие гадости
>>>> частично сам виноват в последствиях.
>>> ТакЪ! ПобедимЪ! нужно запретить кирилицу -- а всех кто ей пользуется растерелять
>>> чтобы не мучались. Понапридумывали понимаиишшш всяких букав.
>> Их дело. Хотят - пусть мучаются.
>> Кстати говоря, я был против введения локализованных доменных имён. Но их тоже
>> ввели. Чего уж тут поделать? :)
> это был сарказм если чё -- но ты себя не ограничивай пиши
> на наши отупнеты транслитом.

Ненавижу, когда люди пишут транслитом :)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Aesthetus Animus (ok) on 22-Ноя-13, 10:46 
> не надо меня в словарь тыкать :)

Я не тычу тебя в словарь, а просто показываю вполне приемлеммое использование кириллицы ;-)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

9. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от бедный буратино (ok) on 20-Ноя-13, 12:50 
на именах мы ставим крест
inode - поколение next

миллиардов номеров файлов хватит на всех!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от Sw00p aka Jerom on 20-Ноя-13, 14:39 
try_files в локейшене не спасает ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление nginx 1.4.4 с устранением  уязвимости"  +1 +/
Сообщение от erera22 email(ok) on 20-Ноя-13, 16:27 
try_files для php файла?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Обновление nginx 1.4.4 с устранением  уязвимости"  –1 +/
Сообщение от Sw00p aka Jerom on 21-Ноя-13, 16:53 
ну да собственно да

location ~ \.php$ {
try_files $fastcgi_script_name =404;

пс: http://habrahabr.ru/post/100961/ предотвращение баги fix cgi path info

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от PyMonty on 21-Ноя-13, 01:27 
"экспериментальный выпуск nginx 1.5.7"
В чем его, простите, экспериментальность? На nginx.org написано: "основная версия     nginx-1.5.7".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Обновление nginx 1.4.4 с устранением  уязвимости"  +/
Сообщение от пантелей on 04-Ноя-14, 14:27 
Обновить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру