Abo
  • Services:
Anzeige
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien.
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien. (Bild: Nginx)

Nginx Fehler ermöglicht ungeprüften Zugriff auf Dateien

Durch einen Fehler in Nginx können Angreifer ungeprüft sich Zugriff auf ausführbare Dateien auf einem Webserver verschaffen. Neue Versionen beheben den Fehler bereits, ein Workaround gibt es ebenfalls.

Anzeige

Ein bereits behobener Fehler im Webserver Nginx erlaubt die Übergabe von Verzeichnis- oder Dateipfaden ohne die üblichen Sicherheitsprüfungen. In den aktuellen Versionen 1.5.7 und 1.4.4 des Webservers wurde der Fehler bereits korrigiert. Außerdem gibt es einen Patch. Mit einem temporären Workaround können Administratoren den Fehler selbst beheben. Distributionen wie Red Hat oder Debian werden in Kürze aktualisierte Pakete anbieten. Dort wird der Fehler als kritisch eingestuft.

Der Webserver Nginx in den Versionen 0.8.41 bis 1.5.6 überprüft keine Zeichen in angefragten URIs, die auf ein unmaskiertes Leerzeichen folgen, etwa /foo /.../protected/file. Im HTTP-Protokoll sind solche Zeichenfolgen zwar nicht erlaubt, aus Kompatibilitätsgründen verarbeiteten frühere Versionen von Nginx sie aber dennoch. Auch eine Konfiguration wie location ~ \.php$ { fastcgi_pass … } kann das Ausführen einer Datei mit darauf folgendem Leerzeichen auslösen, etwa /file \0.php, heißt es in dem Security Advisory CVE-2013-4547 des Nginx-Teams.

Reparierte Nginx-Versionen stehen bereit

Der Fehler, den Ivan Fratric vom Google Security Team entdeckte, lässt sich temporär beheben, indem jeder Server{}-Block um folgenden Eintrag ergänzt wird: if ($request_uri ~ " ") { return 444; }. Dabei ist das Leerzeichen zwischen den Anführungszeichen zu beachten.

Der Patch steht auf den Servern des Nginx-Projekts ebenso bereit wie die aktualisierten Versionen 1.5.7 und 1.4.4. Bei den Distributionen wie Debian oder Red Hat ist der Fehler bereits bekannt und sollte in Kürze behoben werden.


eye home zur Startseite
ives.laaf 21. Nov 2013

Danke! ;) Ich finde es gubt einen signifikanten Unterschied zwischen: ich kann was vom...

vol1 20. Nov 2013

:(



Anzeige

Stellenmarkt
  1. ARRI Media GmbH, Ismaning
  2. Rechenzentrum Region Stuttgart GmbH, Stuttgart
  3. BST eltromat International, Bielefeld
  4. AFRA GmbH, Erlangen, Forchheim


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Squad

    Valve heuert Entwickler des Kerbal Space Program an

  2. James Gosling

    Java-Erfinder wechselt zu Amazon Web Services

  3. Calliope Mini im Test

    Neuland lernt programmieren

  4. Fernwartung

    Microsoft kämpft weiter gegen Support-Betrüger

  5. Streit beendet

    Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit

  6. Voyager

    Facebook ist mit Glasfasertechnik schnell erfolgreich

  7. HP

    Im Envy 13 steckt eine Geforce MX150

  8. Quantencomputer

    Nano-Kühlung für Qubits

  9. Rockstar Games

    Red Dead Redemption 2 auf Frühjahr 2018 verschoben

  10. Software-Update

    Tesla-Autopilot 2.0 soll ab Juni "butterweich" fahren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Fußball!

    quineloe | 12:54

  2. Re: 1Terabit braucht in 10 Jahren keiner mehr...

    Thomas Hofmann | 12:52

  3. Re: Bürosucht...

    quineloe | 12:52

  4. Saftige Preise!

    Accolade | 12:51

  5. Re: Pay to Win?

    Muhaha | 12:50


  1. 12:47

  2. 12:30

  3. 12:00

  4. 11:51

  5. 11:41

  6. 11:26

  7. 11:12

  8. 09:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel