Távoli kódfuttatás sebezhetőség az Nginx webszerverben

 ( trey | 2019. május 31., péntek - 15:54 )

Távoli kódfuttatást lehetővé tevő sebezhetőséget találtak a népszerű Nginx webszerver legújabb verzióiban. A felfedezők a sebezhetőségek felvásárlására szakosodott Zero Day Initiative-en és az Nginx fejlesztői csapatok keresztül, felelős közlés útján (koordináltan) osztják majd meg a részleteket a nyilvánossággal. Addig is érdemes nyitott szemmel figyelnie az üzemeltetőknek az Nginx szervereket.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Gyorsan belekerult az F5 backdoor.

Legkozelebb ugyesebben rejtik el.

Felelős közlés = ha a Zügynökségek azt mondják, hogy most már mehet a közlés és a foltozás, akkor megy, de egy perccel sem előbb? Ja, nem, itt (is) az emberek a legfontosabbak. :P

- - -
TransferWise refer
Humble Monthly refer

Emlékeim szerint a Microsoft volt a leghangosabb hang a felelős közlés mellett. Számos blogbejegyzésben ítélte el a Google biztonsági szakembereit (Pl. Tavis Ormandy), amikor azok elkezdték a sebezhetőségek részleteit napvilágra hozni, hogy arra kényszerítsék a nem túl együttműködő Microsoftot, hogy egyrészt foglalkozzon a hibákkal, másrészt megfelelő időn belül javítsa azokat. Ez azután lett hangsúlyos miután a Google hálózatába Windows hibákat kihasználva jutottak be illetéktelenek.

Miután a Microsoft felelős közlés után kiáltott, a Google - a P0 csapattal - elkezdte a 90 napos határidő alkalmazását. Vagyis ad 90 napot a gyártónak (igen, a saját Android fejlesztőinek is), majd ha a gyártó nem teljesít a 90 napon belül, akkor napvilágra hozza a részleteket. Ezt a gyakorlatot többen is elkezdték követni az iparban.

A ZDI-nek is van ilyen policy-je, az azonban jóval megengedőbb (15 nap + 120 nap és utána is csak korlátozott közlés stb.).

Természetesen, ha a hiba előbb napvilágot lát vagy infó van arról, hogy azt aktívan kihasználják, akkor eltér(het)nek ezektől a határidőktől.

--
trey @ gépház

Figyelembe véve, hogy a weboldalak és szolgáltatások igen jelentős része ezen fut vagy keresztül megy így igen nagy probléma főleg hogyha tudják kombinálni egy böngésző sebezhetőséggel.

Hozzászólás:
"Yeah but from when? Those of us running Debian Potato need to know!!"
LOL

Egyébként ez a hacker csaj jól néz ki :)
De már lassan nem merek semmit sem mondani, mert még erről is kiderül, hogy fiú vagy valami hasonló.
Jó persze tudom, ha nem számolja fel extrának..

> Egyébként ez a hacker csaj jól néz ki :)

Közelebbről megnézve a fejét/büsztjét, ez még az ex-szovjet területeken sem egyértelmű, hogy milyen nemű.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

LOL és tényleg! :)
A profilképét néztem..

dupla lett.

Akkor nála lehet kiakadna a csokiautomata vagy micsoda amiben AI ismeri fel a nőket és ad nekik csokit.
Szivárványos képet is posztolt ;-)

Idézet:
ez a hacker csaj jól néz ki

Nem az én esetem, a tiéd lehet ;-)

Nem ez a képe volt kint akkor, hanem ez: https://twitter.com/alisaesage/status/997787201273380864

Nem azt mondom, hogy csúnya, de tényleg nem az esetem.
Vannak képek, amin egész helyes, de nekem nem jön be ez a stílus.

Elvileg erről van szó: https://github.com/nginx/njs/issues/131

Tehát a kihasználáshoz bekapcsolt njs modul, írás jog kell a gépre és azóta már javították is.

> Thank you Alisa and ZDI for the report.
> ZDI-CAN-8296 & ZDI-CAN-8495 are tracked as https://github.com/nginx/njs/issues/131 and https://github.com/nginx/njs/issues/159.
> ZDI-CAN-8296 was fixed in the nJS 0.3.2 release, and ZDI-CAN-8495 will be fixed in 0.3.3. Neither bug appears to be generally exploitable.

via: https://twitter.com/nginx/status/1134522763731800065

Mondjuk a bejelentő kommentje aggodalomra ad okot:
> You’re welcome. However I suggest you to double-check the statement regarding general exploitability of a classical buffer overflow with potentially remote-controlled input data, before my more aggressive colleagues step in. ;)

Tehát elvileg minden részlet és PoC is kikerült, innentől kezdve nyugodtan mehetne a hivatalos bejelentés.

Follow up: https://twitter.com/nginx/status/1134522763731800065

Tehát nem kell kaszát-kapát eldobva hazarohanni frissíteni :)