Abo
  • Services:
Anzeige
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien.
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien. (Bild: Nginx)

Nginx Fehler ermöglicht ungeprüften Zugriff auf Dateien

Durch einen Fehler in Nginx können Angreifer ungeprüft sich Zugriff auf ausführbare Dateien auf einem Webserver verschaffen. Neue Versionen beheben den Fehler bereits, ein Workaround gibt es ebenfalls.

Anzeige

Ein bereits behobener Fehler im Webserver Nginx erlaubt die Übergabe von Verzeichnis- oder Dateipfaden ohne die üblichen Sicherheitsprüfungen. In den aktuellen Versionen 1.5.7 und 1.4.4 des Webservers wurde der Fehler bereits korrigiert. Außerdem gibt es einen Patch. Mit einem temporären Workaround können Administratoren den Fehler selbst beheben. Distributionen wie Red Hat oder Debian werden in Kürze aktualisierte Pakete anbieten. Dort wird der Fehler als kritisch eingestuft.

Der Webserver Nginx in den Versionen 0.8.41 bis 1.5.6 überprüft keine Zeichen in angefragten URIs, die auf ein unmaskiertes Leerzeichen folgen, etwa /foo /.../protected/file. Im HTTP-Protokoll sind solche Zeichenfolgen zwar nicht erlaubt, aus Kompatibilitätsgründen verarbeiteten frühere Versionen von Nginx sie aber dennoch. Auch eine Konfiguration wie location ~ \.php$ { fastcgi_pass … } kann das Ausführen einer Datei mit darauf folgendem Leerzeichen auslösen, etwa /file \0.php, heißt es in dem Security Advisory CVE-2013-4547 des Nginx-Teams.

Reparierte Nginx-Versionen stehen bereit

Der Fehler, den Ivan Fratric vom Google Security Team entdeckte, lässt sich temporär beheben, indem jeder Server{}-Block um folgenden Eintrag ergänzt wird: if ($request_uri ~ " ") { return 444; }. Dabei ist das Leerzeichen zwischen den Anführungszeichen zu beachten.

Der Patch steht auf den Servern des Nginx-Projekts ebenso bereit wie die aktualisierten Versionen 1.5.7 und 1.4.4. Bei den Distributionen wie Debian oder Red Hat ist der Fehler bereits bekannt und sollte in Kürze behoben werden.


eye home zur Startseite
ives.laaf 21. Nov 2013

Danke! ;) Ich finde es gubt einen signifikanten Unterschied zwischen: ich kann was vom...

vol1 20. Nov 2013

:(



Anzeige

Stellenmarkt
  1. Rohde & Schwarz GmbH & Co. KG, München
  2. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  3. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)
  4. Landeshauptstadt München, München


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Was hat das mit "Die PARTEI" zui tun?

    Zeroslammer | 10:43

  2. Re: Und bei DSL?

    sneaker | 10:42

  3. Re: Der starke Kleber

    ArcherV | 10:36

  4. Re: und die anderen 9?

    ArcherV | 10:34

  5. Re: 197 MBit/s über vodafone.de Speedtest - 30...

    DerDy | 10:24


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel