Abo
  • Services:
Anzeige
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien.
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien. (Bild: Nginx)

Nginx Fehler ermöglicht ungeprüften Zugriff auf Dateien

Durch einen Fehler in Nginx können Angreifer ungeprüft sich Zugriff auf ausführbare Dateien auf einem Webserver verschaffen. Neue Versionen beheben den Fehler bereits, ein Workaround gibt es ebenfalls.

Anzeige

Ein bereits behobener Fehler im Webserver Nginx erlaubt die Übergabe von Verzeichnis- oder Dateipfaden ohne die üblichen Sicherheitsprüfungen. In den aktuellen Versionen 1.5.7 und 1.4.4 des Webservers wurde der Fehler bereits korrigiert. Außerdem gibt es einen Patch. Mit einem temporären Workaround können Administratoren den Fehler selbst beheben. Distributionen wie Red Hat oder Debian werden in Kürze aktualisierte Pakete anbieten. Dort wird der Fehler als kritisch eingestuft.

Der Webserver Nginx in den Versionen 0.8.41 bis 1.5.6 überprüft keine Zeichen in angefragten URIs, die auf ein unmaskiertes Leerzeichen folgen, etwa /foo /.../protected/file. Im HTTP-Protokoll sind solche Zeichenfolgen zwar nicht erlaubt, aus Kompatibilitätsgründen verarbeiteten frühere Versionen von Nginx sie aber dennoch. Auch eine Konfiguration wie location ~ \.php$ { fastcgi_pass … } kann das Ausführen einer Datei mit darauf folgendem Leerzeichen auslösen, etwa /file \0.php, heißt es in dem Security Advisory CVE-2013-4547 des Nginx-Teams.

Reparierte Nginx-Versionen stehen bereit

Der Fehler, den Ivan Fratric vom Google Security Team entdeckte, lässt sich temporär beheben, indem jeder Server{}-Block um folgenden Eintrag ergänzt wird: if ($request_uri ~ " ") { return 444; }. Dabei ist das Leerzeichen zwischen den Anführungszeichen zu beachten.

Der Patch steht auf den Servern des Nginx-Projekts ebenso bereit wie die aktualisierten Versionen 1.5.7 und 1.4.4. Bei den Distributionen wie Debian oder Red Hat ist der Fehler bereits bekannt und sollte in Kürze behoben werden.


eye home zur Startseite
ives.laaf 21. Nov 2013

Danke! ;) Ich finde es gubt einen signifikanten Unterschied zwischen: ich kann was vom...

vol1 20. Nov 2013

:(



Anzeige

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Ingolstadt
  2. CureVac AG, Tübingen bei Stuttgart
  3. Regierung von Oberbayern, München
  4. BASF Schwarzheide GmbH, Schwarzheide


Anzeige
Spiele-Angebote
  1. 59,99€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. 79€

Folgen Sie uns
       


  1. Pocket Camp

    Animal Crossing baut auf Smartphones

  2. DFKI

    Forscher proben robotische Planetenerkundung auf der Erde

  3. Microsoft

    Netzteil des Surface Book 2 ist zu schwach

  4. Lösegeld

    Uber verheimlicht Hack von 60 Millionen Kundendaten

  5. Foxconn

    Auszubildende arbeiteten illegal am iPhone X

  6. Meg Whitman

    Chefin von Hewlett Packard Enterprise tritt ab

  7. Fitbit Ionic im Test

    Die (noch) nicht ganz so smarte Sportuhr

  8. Rigiet

    Smartphone-Gimbal soll Kameras für wenig Geld stabilisieren

  9. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  10. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: mit 5G brauchen wir keine Kabel mehr

    Third Life | 11:41

  2. Re: Tesla rasiert alle weg

    ArcherV | 11:40

  3. Re: Im Grunde ist es genauso unfassbar...

    M.P. | 11:40

  4. Re: Hallo aus dem 1G-Land

    SJ | 11:40

  5. Re: Sourcecode gehört nicht in die Cloud

    redmord | 11:39


  1. 11:44

  2. 10:48

  3. 10:16

  4. 09:41

  5. 09:20

  6. 09:06

  7. 09:03

  8. 07:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel