Távoli kódfuttatás sebezhetőség az Nginx webszerverben

Titkosítás, biztonság, privát szféra

Távoli kódfuttatást lehetővé tevő sebezhetőséget találtak a népszerű Nginx webszerver legújabb verzióiban. A felfedezők a sebezhetőségek felvásárlására szakosodott Zero Day Initiative-en és az Nginx fejlesztői csapatok keresztül, felelős közlés útján (koordináltan) osztják majd meg a részleteket a nyilvánossággal. Addig is érdemes nyitott szemmel figyelnie az üzemeltetőknek az Nginx szervereket.

( carlcolt | 2019. 05. 31., p – 16:06 )

Gyorsan belekerult az F5 backdoor.

Legkozelebb ugyesebben rejtik el.

( solt87 | 2019. 05. 31., p – 16:33 )

Felelős közlés = ha a Zügynökségek azt mondják, hogy most már mehet a közlés és a foltozás, akkor megy, de egy perccel sem előbb? Ja, nem, itt (is) az emberek a legfontosabbak. :P

- - -
TransferWise refer
Humble Monthly refer

Emlékeim szerint a Microsoft volt a leghangosabb hang a felelős közlés mellett. Számos blogbejegyzésben ítélte el a Google biztonsági szakembereit (Pl. Tavis Ormandy), amikor azok elkezdték a sebezhetőségek részleteit napvilágra hozni, hogy arra kényszerítsék a nem túl együttműködő Microsoftot, hogy egyrészt foglalkozzon a hibákkal, másrészt megfelelő időn belül javítsa azokat. Ez azután lett hangsúlyos miután a Google hálózatába Windows hibákat kihasználva jutottak be illetéktelenek.

Miután a Microsoft felelős közlés után kiáltott, a Google - a P0 csapattal - elkezdte a 90 napos határidő alkalmazását. Vagyis ad 90 napot a gyártónak (igen, a saját Android fejlesztőinek is), majd ha a gyártó nem teljesít a 90 napon belül, akkor napvilágra hozza a részleteket. Ezt a gyakorlatot többen is elkezdték követni az iparban.

A ZDI-nek is van ilyen policy-je, az azonban jóval megengedőbb (15 nap + 120 nap és utána is csak korlátozott közlés stb.).

Természetesen, ha a hiba előbb napvilágot lát vagy infó van arról, hogy azt aktívan kihasználják, akkor eltér(het)nek ezektől a határidőktől.

--
trey @ gépház

( freeoli v | 2019. 05. 31., p – 22:08 )

Figyelembe véve, hogy a weboldalak és szolgáltatások igen jelentős része ezen fut vagy keresztül megy így igen nagy probléma főleg hogyha tudják kombinálni egy böngésző sebezhetőséggel.

( answ | 2019. 05. 31., p – 22:13 )

Hozzászólás:
"Yeah but from when? Those of us running Debian Potato need to know!!"
LOL

Egyébként ez a hacker csaj jól néz ki :)
De már lassan nem merek semmit sem mondani, mert még erről is kiderül, hogy fiú vagy valami hasonló.
Jó persze tudom, ha nem számolja fel extrának..

Elvileg erről van szó: https://github.com/nginx/njs/issues/131

Tehát a kihasználáshoz bekapcsolt njs modul, írás jog kell a gépre és azóta már javították is.

> Thank you Alisa and ZDI for the report.
> ZDI-CAN-8296 & ZDI-CAN-8495 are tracked as https://github.com/nginx/njs/issues/131 and https://github.com/nginx/njs/issues/159.
> ZDI-CAN-8296 was fixed in the nJS 0.3.2 release, and ZDI-CAN-8495 will be fixed in 0.3.3. Neither bug appears to be generally exploitable.

via: https://twitter.com/nginx/status/1134522763731800065

Mondjuk a bejelentő kommentje aggodalomra ad okot:
> You’re welcome. However I suggest you to double-check the statement regarding general exploitability of a classical buffer overflow with potentially remote-controlled input data, before my more aggressive colleagues step in. ;)

Tehát elvileg minden részlet és PoC is kikerült, innentől kezdve nyugodtan mehetne a hivatalos bejelentés.