LINUX.ORG.RU
НовостиБезопасность

DoS-уязвимость в nginx

 , , ,


0

0

Четыре дня назад Jason Bell обнаружил в популярном веб-сервере nginx уязвимость, позволяющую удаленному пользователю аварийно завершить рабочий процесс сервера при помощи специально сформированного запроса.

Данной уязвимости подвержены только версии nginx младше 0.8.14, 0.7.62, 0.6.39 и 0.5.38.

Игорь Сысоев уже опубликовал патч, устраняющий эту уязвимость. Также выпущено обновление безопасности для Debian.

В сообщении об ошибке, приведенном по ссылке ниже, присутствует текст exploit'а, использующего обсуждаемую уязвимость. Признаком успешного срабатывания exploit'а является отсутствие ответа сервера — не подверженная данной уязвимости версия nginx отвечает на запрос exploit'а 400 Bad Request. Учитывая опыт предыдущих сообщений об уязвимостях, специально напоминаем некоторым дилетантам, что exploit'ы для архитектуры i386 вовсе не обязаны работать на других архитектурах.

Отметим, что описанная уязвимость носит отнюдь не фатальный характер, так как приводит к завершению только «своего» worker process, но не master process. Однако многократное ее использование за небольшой промежуток времени может создать ощутимые проблемы в работе сервера.

Поэтому всем администраторам, использующим уязвимые версии, настоятельно рекомендуется обновиться.

>>> Подробности

★★★★

Проверено: Shaman007 ()

1 2

народ, зачем боянить новости через 2 недели?
дырка то через нулевой указатель, было уже это (см новости за сентябрь)

---
В популярном веб-сервере и прокси-сервере nginx была обнаружена уязвимость, позволяющая удаленному злоумышленнику выполнить на сервере код с правами процесса nginx, либо вызвать отказ в обслуживании (падение nginx). Уязвимость обусловлена наличием buffer underflow в функции ngx_http_parse_complex_uri (обработка URL входящего запроса).

Уязвимости подвержены все версии с 0.1.0 по 0.8.14, кроме свежевыпущенных багфиксов 0.8.15, 0.7.62, 0.6.39 и 0.5.38. Кроме того, существует отдельный патч, закрывающий эту уязвимость.

Уже выпущены обновления безопасности для Debian и Fedora. Для других дистрибутивов сообщений об обновлениях пока не поступало.

В настоящее время информация об эксплойтах, использующих данную уязвимость, отсутствует. Тем не менее, всем администраторам, использующим уязвимые версии nginx, рекомендуется срочно отключить этот сервис и/или заблокировать его фаерволом вплоть до установки обновления.

P.S. Эта уязвимость уже обсуждается у нас на форуме.

>>> Подробности

Метки: nginx, уязвимость
nnz (*) (15.09.2009 2:12:42)
[Добавить комментарий] [76 комментариев (стр. 2)]
---

x97Rang ★★★
()
Ответ на: комментарий от AVL2

> Во первых, есть лайттпд и фастцгишный пехапе.

Осталось объяснить это тому многочисленному планктону, который жизни не мыслит без таких фишечек, как полнофункциональный .htaccess (разумеется, изменения в котором вступают в силу моментально, а не когда мы в очередной раз конвертнём его внутрь конфига lighttpd), mod_php (который всё-таки немножко отличается от php/fastcgi и php/cgi) и т.д.

> Во вторых через нжинкс обычно разве что статика лучше, чем через сам апач отдается.

Практика показывает несколько иные результаты. Апач, внутри которого работает mod_php (ну или отдельная CGI-ха), вот уже 5 минут отдающий на медленном соединении 300KB данных и занимающий 200MB памяти только потому, что запрос ещё не отдан и сборщик мусора mod_php никак не может вернуть память в ОС — обычная ситуация. И кэш Nginx в этом реально помогает.

-- JL

anonymous
()

как юзал лайти так и буду его юзать ...читая новости от Сысоева все больше убеждаюсь в том что сабж не нужен

izmena ★★
()

nginx нужен как фронтенд, это понятно хотя бы при 500 запросах в секунду на 80 порт, а за ним несколько бекендов на вторых апачах

x97Rang ★★★
()

Кстати о птичках. Только что получил по рассылке.

SecurityFocus характеризует эту дыру как «buffer-overflow» и сообщает, что с ее помощью можно выполнить на серваке произвольный код (с правами worker process).

http://www.securityfocus.com/bid/36839/discuss

Это было неожиданно.

nnz ★★★★
() автор топика
Ответ на: комментарий от x97Rang

>народ, зачем боянить новости через 2 недели?
>дырка то через нулевой указатель, было уже это (см новости за сентябрь)

ngx_http_parse_header_line и ngx_http_parse_complex_uri это какбэ разные функции.

// Всегда ваш К.О.

nnz ★★★★
() автор топика
Ответ на: комментарий от nnz

если обновиться после сентябрьской новости, то эта новость абсолютна не важна - обратите внимание на номера неуязвимых версий

x97Rang ★★★
()
Ответ на: комментарий от anonymous

>Осталось объяснить это тому многочисленному планктону, который жизни не мыслит без таких фишечек, как полнофункциональный .htaccess (разумеется, изменения в котором вступают в силу моментально, а не когда мы в очередной раз конвертнём его внутрь конфига lighttpd), mod_php (который всё-таки немножко отличается от php/fastcgi и php/cgi) и т.д.

ну значит апач и прикрыть его лайтом.

>Практика показывает несколько иные результаты

практика показывает, что чаще всего нжинкс возвращает маловразумительную страничку с соболезнованиями.

AVL2 ★★★★★
()
Ответ на: комментарий от x97Rang

>если обновиться после сентябрьской новости, то эта новость абсолютна не важна - обратите внимание на номера неуязвимых версий

Есть такое понятие, как «сопровождение дистрибутивного ПО». Оно обычно предполагает сохранение версий софта. Безопасность и багфиксы обеспечиваются только небольшими патчами. Поэтому для большинства администраторов «обновление безопасности» — это все та же версия, но с патчем.

nnz ★★★★
() автор топика
Ответ на: комментарий от AVL2

>практика показывает, что чаще всего нжинкс возвращает маловразумительную страничку с соболезнованиями.

практика показывает, что у большенства "администраторов" руки из попы колосятся :-\

hizel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Безопасность