Sicherheitslücke in Nginx

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Die Entwickler des freien Webservers Nginx haben eine Sicherheitslücke geschlossen, die es in bestimmten Konfigurationen erlaubte, Zugangsbeschränkungen für Verzeichnisse und Dateien zu umgehen. Betroffen sind die Versionen 0.8.41 bis 1.5.6 des Serverdienstes für Windows, Linux und BSD.
    Das Problem geht auf Verhalten des Servers zurück, das aus Kompatibilitätsgründen eingebaut wurde. Zwar dürften Leerzeichen ohne vorangestellte Steuerzeichen laut der HTTP-Spezifikation nicht akzeptiert werden, Nginx verarbeitet sie aber trotzdem. Kommt in einer zu verarbeitenden Adresse ein Leerzeichen vor, überprüft der Webserver die Zugriffsbeschränkungen für die in der Adresse folgenden Verzeichnisse nicht mehr. Das führt dazu, dass ein Angreifer auf Verzeichnisse Zugriff erlangen kann, die der Server eigentlich sperren sollte. Dies trifft allerdings nur zu, wo die Verzeichnisse oder Konfigurationsdateien Leerzeichen enthalten.
    Mit den nun zum Download bereitstehenden Versionen 1.5.7 und 1.4.4 haben die Entwickler das Problem behoben. Falls diese Updates nicht zur Verfügung stehen (zum Beispiel bei Linux-Distributionen, die diese noch nicht freigegeben haben), kann man seine Installation absichern, indem man die Folgende Direktive in den server{}-Block einbaut:

    Code
    if ($request_uri ~ " ") {
      return 444;
    }


    Die Sicherheitslücke wurde von einem Mitarbeiter des Google Security Teams entdeckt und gemeldet und erhielt die CVE-Nummer 2013-4547. (fab@heise.de)

    Quelle, Heise:
    http://www.heise.de/security/meldu…us-2050731.html

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    • Offizieller Beitrag

    Nette Lücke habe die da gefunden... aber

    Zitat


    Dies trifft allerdings nur zu, wo die Verzeichnisse oder Konfigurationsdateien Leerzeichen enthalten.

    Wer benutzt schon Leerzeichen für sowas? :D

    Ich bin ein gefallener Engel namens Turael.

    Einst vor langer Zeit rebelierte ich im Himmel bis Gott mich auf die Erde verbannte.

    Doch meine taten werden kein ende finden....

  • Hi auch,
    die Info war wichtig. Danke dafür.

    Die Lücke ist ja inzwischen geflickt worden, nur apt-get bringt immer noch die alte Version 1.2.1 vom nginx die Platte.

    Hat jemand eine Ahnung wie lange da so eine Aktualisierung dauert ?

    Eine Suche nach "nginx" "1.4" "wheezy" "arm" hat nichts gebraucht.

    Bin noch Linux Newbie deshalb kenne ich die Regeln und Gepflogenheiten noch nicht so genau.

    Gruß und Dank
    Gerd

    • Offizieller Beitrag

    Das wird daran liegen, dass das Repository (halt die Quelle worüber du dir die Software ziehst) noch nicht aktualisiert wurde.
    Du könntest probieren dir die experimental Pakete zu ziehen aber !VORSICHT! als Anfänger würde ich mich nicht dran wagen! Ich selbst habe mir dadurch schon das ein oder andere System mit zerschossen ;)

  • Der Workarround steht doch oben.
    Damit läuft auch 1.2.1 wieder sicher.
    Somit kann man locker warten bis 1.4 in den Repros ist.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Danke für die Antworten,
    den Workaround habe ich auch denn auch flugs eingebaut.

    Das war auch nötig, denn lt. nginx access.log haben auch einige Attacken auf diese Lücke
    stattgefunden. Obwohl ich kein Spezi bin, konnte ich aus den URLs entnehmen das da gezielt auf URL Leerzeichen ' ' attackiert wurde. Ich habe den Server nicht auf Port 80 offen, sondern 8080 (sonst komme ich nicht aus meinem Firmennetz auf meinen RPI), aber das ist kein Schutz vor irgendwas.
    Angriffe kamen aus Frankreich und den USA, aber das heisst wohl nichts.

    Ich versuche mal etwas 'hardening" u.a. den geo-ip Blocker im nginx.

    Vielen Dank für die Hilfe.

    Gruß
    Gerd

    • Offizieller Beitrag


    Ich habe den Server nicht auf Port 80 offen, sondern 8080 (sonst komme ich nicht aus meinem Firmennetz auf meinen RPI), aber das ist kein Schutz vor irgendwas.

    Theoretisch ist das schon ein kleiner Schutz ;) Leute die keinen Portscan durch geführt haben und nur die Standard Ports abklappern werden bei dir auf Port 80 nichts antreffen und dann evtl weiterziehen... Heißt es schützt ein bisschen =P

    Ich bin ein gefallener Engel namens Turael.

    Einst vor langer Zeit rebelierte ich im Himmel bis Gott mich auf die Erde verbannte.

    Doch meine taten werden kein ende finden....

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!