Abo
  • Services:
Anzeige
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien.
Ein Fehler in Nginx erlaubt das ungeprüfte Verarbeiten von Dateien. (Bild: Nginx)

Nginx Fehler ermöglicht ungeprüften Zugriff auf Dateien

Durch einen Fehler in Nginx können Angreifer ungeprüft sich Zugriff auf ausführbare Dateien auf einem Webserver verschaffen. Neue Versionen beheben den Fehler bereits, ein Workaround gibt es ebenfalls.

Anzeige

Ein bereits behobener Fehler im Webserver Nginx erlaubt die Übergabe von Verzeichnis- oder Dateipfaden ohne die üblichen Sicherheitsprüfungen. In den aktuellen Versionen 1.5.7 und 1.4.4 des Webservers wurde der Fehler bereits korrigiert. Außerdem gibt es einen Patch. Mit einem temporären Workaround können Administratoren den Fehler selbst beheben. Distributionen wie Red Hat oder Debian werden in Kürze aktualisierte Pakete anbieten. Dort wird der Fehler als kritisch eingestuft.

Der Webserver Nginx in den Versionen 0.8.41 bis 1.5.6 überprüft keine Zeichen in angefragten URIs, die auf ein unmaskiertes Leerzeichen folgen, etwa /foo /.../protected/file. Im HTTP-Protokoll sind solche Zeichenfolgen zwar nicht erlaubt, aus Kompatibilitätsgründen verarbeiteten frühere Versionen von Nginx sie aber dennoch. Auch eine Konfiguration wie location ~ \.php$ { fastcgi_pass … } kann das Ausführen einer Datei mit darauf folgendem Leerzeichen auslösen, etwa /file \0.php, heißt es in dem Security Advisory CVE-2013-4547 des Nginx-Teams.

Reparierte Nginx-Versionen stehen bereit

Der Fehler, den Ivan Fratric vom Google Security Team entdeckte, lässt sich temporär beheben, indem jeder Server{}-Block um folgenden Eintrag ergänzt wird: if ($request_uri ~ " ") { return 444; }. Dabei ist das Leerzeichen zwischen den Anführungszeichen zu beachten.

Der Patch steht auf den Servern des Nginx-Projekts ebenso bereit wie die aktualisierten Versionen 1.5.7 und 1.4.4. Bei den Distributionen wie Debian oder Red Hat ist der Fehler bereits bekannt und sollte in Kürze behoben werden.


eye home zur Startseite
ives.laaf 21. Nov 2013

Danke! ;) Ich finde es gubt einen signifikanten Unterschied zwischen: ich kann was vom...

vol1 20. Nov 2013

:(



Anzeige

Stellenmarkt
  1. LEDVANCE GmbH, Garching bei München
  2. JOB AG Industrial Service GmbH, Kassel
  3. TOMRA Sorting GmbH, Mülheim-Kärlich
  4. Brockmann Recycling GmbH, Nützen bei Kaltenkirchen


Anzeige
Hardware-Angebote
  1. 399€ + 3,99€ Versand

Folgen Sie uns
       


  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Open Source Projekt Oracle will Java EE abgeben

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps
  3. IOS 11 Epic Games rettet Infinity Blade ins 64-Bit-Zeitalter

  1. Re: CO2 Ausstoß dieses Akkus bei der Produktion?

    Onkel Ho | 03:36

  2. Re: Beweise?

    LinuxMcBook | 02:59

  3. Re: Apple schafft das, was Microsoft nie...

    plutoniumsulfat | 02:54

  4. Re: Und darum brauchen wir eine echte...

    quasides | 02:36

  5. Re: Wie viel muss sich die dubiose "Antiviren...

    bombinho | 02:36


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel