The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.11.2016 20:03  Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu

Опубликованы подробности и эксплоит для уязвимости (CVE-2016-1247) в пакете с nginx, в конце октября устранённой в Debian и Ubuntu. Проблема специфична для deb-пакета nginx, не касается самого nginx, и может привести к выполнению кода с правами root при наличии у атакующего прав доступа "www-data" в системе.

Проблема вызвана некорректными настройками доступа к директории с логами web-сервера. Директория с логами /var/log/nginx имеет владельца "www-data", что позволяет пользователю с данными полномочиями произвольно манипулировать файлами в данной директории. При запуске или перезапуске nginx в лог добавляются записи от процесса с правами root. Периодически скрипт ротации логов меняет владельца файлов с логами на "www-data".

Локальный пользователь с правами www-data может создать в директории /var/log/nginx символическую ссылку вместо файла с логом "error.log". Таким образом, направив символическую ссылку "/var/log/nginx/error.log" на другой файл перед перезапуском nginx, можно изменить любой файл в системе. Перезапуск nginx по сигналу USR1 осуществляется скриптом ротации логов, который по умолчанию вызывается из cron.daily каждый день в 6:25.

Для организации запуска кода с правами root в эксплоите осуществляется создание символической ссылки на файл /etc/ld.so.preload (/var/log/nginx/error.log -> /etc/ld.so.preload), который после перезапуска nginx будет создан, а после ротации лога получит владельца www-data, что позволит прописать в нём произвольную библиотеку атакующего, после чего библиотека будет активироваться при выполнении любого исполняемого файла, например, можно запустить suid root приложение /usr/bin/sudo.



  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: nginx, debian
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, Аноним, 21:12, 17/11/2016 [ответить] [смотреть все]     [к модератору]
  • –28 +/
    Камон, сириусли Зачем их хранить Линковать на dev null, и все дела ... весь текст скрыт [показать]
     
     
  • 2.4, user455, 21:13, 17/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +54 +/
    администратор локалхоста в чяте.
     
     
  • 3.11, тоже Аноним, 22:53, 17/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    Перефразируя известный афоризм: есть администраторы, которые еще не хранят логи...
     
     
  • 4.24, Аноним, 01:37, 18/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    некоторые гоняют при помощи syslog
     
     
  • 5.31, Адекват, 08:11, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    syslog появился до вашего рождения и всех всем устраивал столько лет, сколько ва... весь текст скрыт [показать]
     
     
  • 6.45, Аноним, 17:12, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Во-первых, отучайся говорить за всех Это плохая привычка Во-вторых, если бы sy... весь текст скрыт [показать]
     
     
  • 7.65, XoRe, 20:31, 21/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Syslog - это понятие, обобщающее клиента, протокол и сервер Насколько я понял, ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 21:12, 17/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Опять дебиан отличился :) сначала OpenSSL, теперь ngnix...
     
     
  • 2.5, Crazy Alex, 21:35, 17/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Тоже мне, сравнил.
     
     
  • 3.6, Аноним, 22:06, 17/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    а что не так и то и другое от кривых рук маинтейнера пакета И учитывая распрос... весь текст скрыт [показать]
     
     
  • 4.8, Crazy Alex, 22:41, 17/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Угу, ботнет от локальной уязвимости Которую ты от ремотной, судя по всему, не о... весь текст скрыт [показать]
     
     
  • 5.12, тоже Аноним, 22:56, 17/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну, на шаред-хостингах нгинкс обычно не может не быть - ради ускорения его непре... весь текст скрыт [показать]
     
     
  • 6.19, Sw00p aka Jerom, 23:57, 17/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    думаю не опасно, если nginx и пхп на разных вирт серверах.
     
  • 6.20, Sw00p aka Jerom, 23:59, 17/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    там пхп реверсный шел юзается, ссх там тока админская консоль чтоб запустить рот... весь текст скрыт [показать]
     
  • 6.21, Аноним, 00:09, 18/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    По умолчанию под пользователем www-data выполняются, например, php-скрипты.
     
     
  • 7.22, тоже Аноним, 00:19, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    На шаредах php-скрипты выполняются от имени юзеров А nginx, как я это понимаю -... весь текст скрыт [показать]
     
     
  • 8.27, Sw00p aka Jerom, 03:09, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну и пхп не требуется, но это же не мешает выполнять system ,exec ,passthru ... весь текст скрыт [показать]
     
     
  • 9.32, тоже Аноним, 08:16, 18/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Удаленно зайти и выполнить описанные в статье действия - мешает.
     
     
  • 10.36, Онанимус, 10:58, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вам же объясняют любой локальный рут - это возможность поднятия ранее полученно... весь текст скрыт [показать]
     
     
  • 11.37, тоже Аноним, 11:08, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не понимаю - зачем нужна обсуждаемая уязвимость, если уже получен локальный рут ... весь текст скрыт [показать]
     
     
  • 12.39, Онанимус, 11:30, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Издеваетесь что ли Если хэккер получил удаленного www-data, то его возможности ... весь текст скрыт [показать]
     
     
  • 13.40, тоже Аноним, 12:40, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Конкретно эта ветка и начинается с моего утверждения, что на шаредах пользовател... весь текст скрыт [показать]
     
  • 10.43, Sw00p aka Jerom, 15:45, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    на видео видно как автор через якобы багу загружает на сервер реверсивный пхп ше... весь текст скрыт [показать]
     
     
  • 11.44, тоже Аноним, 16:26, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Еще раз если даже вы получили шелл с правами юзера шаред-хостинга - конкретно э... весь текст скрыт [показать]
     
     
  • 12.48, Sw00p aka Jerom, 23:44, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    я чёт не понял смысла вашего предложения Конкретно эксплоит выполнится, если у ... весь текст скрыт [показать]
     
     
  • 13.50, тоже Аноним, 00:15, 19/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А юзеры на шареде - это не тот пользователь www-data, от имени которого запускае... весь текст скрыт [показать]
     
  • 6.56, Аноним, 05:54, 19/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если у кого shared хостинг и логи нжинкса доступны всем подряд - как минимум это... весь текст скрыт [показать]
     
     
  • 7.58, тоже Аноним, 12:43, 19/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Поэтому?..
     
  • 5.33, тигар, 09:13, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    а конфиг iptables sshd нельзя поправить заменить своим на время, используя эту д... весь текст скрыт [показать]
     
     
  • 6.38, Онанимус, 11:13, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачем Если есть возможность добраться до этой дыры, то надо ставить реверс шелл... весь текст скрыт [показать]
     
     
  • 7.49, Sw00p aka Jerom, 23:46, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    а суть в том, что сразу после сработки логротейта нджинкс не успеет нагадит в не... весь текст скрыт [показать]
     
     
  • 8.51, angra, 01:05, 19/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Походу, ты вообще не понял, как работает эта уязвимость Дело не в logrotate, а ... весь текст скрыт [показать]
     
  • 4.26, Аноним, 02:30, 18/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ну не совсем, изменение в OpenSSL одобрили сами авторы ... весь текст скрыт [показать]
     
  • 2.10, Вареник, 22:42, 17/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –6 +/
    Каким боком Debian к сборке ngnix под DEB?
     
     
  • 3.17, Michael Shigorin, 23:40, 17/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Угадайте с двух, нет, с трёх попыток Третья -- на прочтение DSA-3701 ... весь текст скрыт [показать]
     
  • 1.13, odd.mean, 22:59, 17/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Казалось бы, что мешает использовать
    deb http://nginx.org/packages/debian/ CODENAME nginx
    или
    deb http://nginx.org/packages/mainline/debian/ CODENAME nginx
    ?
    Хотя мэйнтэйнерам, конечно, двойка.
     
     
  • 2.59, Savely Krasovsky, 01:01, 20/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В случае в дебианом там статично слинкована старая OpenSSL 1 0 1, которая не под... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, odd.mean, 21:16, 20/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А вы на какой ветке (ветках)?
     
  • 1.18, ALex_hha, 23:52, 17/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Опять дебиан отличился :) сначала OpenSSL, теперь ngnix..

    еще стоит вспомнить exim в их исполнении ;)

     
     
  • 2.25, Аноним, 02:03, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    exim стоит вспомнить безотносительно дебиана Хотя что с его конфигаме делают в ... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, rt, 10:57, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Это же самый стабильно-серверный дистрибутив. История с openssh туда же)
     
  • 1.23, Аноним, 00:34, 18/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Сила мелочей, классный эффект Не по теме а почему черепашка а не обезьяна с гра... весь текст скрыт [показать]
     
  • 1.28, Аноним, 07:15, 18/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    А почему проблему видят в дебиане, а не в работе nginx с файлами логов При полу... весь текст скрыт [показать]
     
     
  • 2.46, Аноним, 20:21, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Проблемы debian разработчиков nginx не колышат, это только их проблемы - мы лучш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, angra, 01:09, 19/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Для танкистов повторяю, проблема не в debian, а в способе работы с логами в ngin... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 01:48, 19/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Из за ваших детских болезней костыли в софт никто добавлять не собирается, если ... весь текст скрыт [показать]
     
  • 1.29, Аноним, 07:41, 18/11/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Получается, другие каталоги в var log с не-root владельцем тоже потенциально уя... весь текст скрыт [показать]
     
     
  • 2.30, angra, 08:06, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Зависит от того, как программа обрабатывает симлинки В данном случае nginx созд... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, Loly, 10:53, 18/11/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Red Hat говорит что не проблема:

    https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-1247
    Red Hat Product Security has rated this issue as having Low security impact. This issue is not currently planned to be addressed in future updates. For additional information, refer to the Issue Severity Classification: https://access.redhat.com/security/updates/classification/.

     
     
  • 2.41, анонимус вульгарис, 13:41, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    И после этого ещё катят бочку на Debian, где дыру сразу закрыли.
     
  • 2.42, Stax, 14:47, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    В редхат nginx не поставку входит, если что Только в epel Это несколько другой... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, angra, 01:24, 19/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Точно защищает Проверял А вот я взял образ centos 6 и проверил root Falcon ... весь текст скрыт [показать]
     
     
  • 4.55, пет, 01:58, 19/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а центось это не рэдхэт)
     
     
  • 5.61, Stax, 15:29, 20/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > а центось это не рэдхэт)

    В данном контексте - они эквивалентны.

     
  • 4.57, fi, 12:08, 19/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а что с selinux?
     
  • 4.60, Stax, 15:28, 20/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Эээ я прямо даже теряюсь Вы слово selinux видите Политика selinux по умолчан... весь текст скрыт [показать]
     
     
  • 5.63, fi, 13:42, 21/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Эээ я прямо даже теряюсь Вы это видили Default SELinux policies on RHEL and F... весь текст скрыт [показать]
     
     
  • 6.64, Stax, 14:58, 21/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какое отношение то, что вы написали имеет к командам шелла, выполненным выше ко... весь текст скрыт [показать]
     
     
  • 7.66, fi, 01:14, 23/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а какой процесс по вашему фигурирует тут Прямо детский сад зы selinux с tar... весь текст скрыт [показать]
     
     
  • 8.67, Stax, 15:10, 23/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    bash, ls, ln, kill впрочем, тк не usr bin kill, тот же bash , cat Сделайте на... весь текст скрыт [показать]
     
     
  • 9.68, fi, 18:08, 23/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    о боже вы не знаете что делает kill посылает сигнал процессу nginx который... весь текст скрыт [показать]
     
     
  • 10.69, Stax, 19:47, 23/11/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну тут уж прямо без комментариев Вы новость вообще читали В чем уязвимость, см... весь текст скрыт [показать]
     
     
  • 11.70, fi, 10:41, 24/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Что вы пытаетесь показать этим бессмысленным тестом,

    Вы точно уверенны что это был я???  я всего лишь спросил автора теста - был ли при этом selinux, а вы возбудились не по-детски. и нагородили при этом какую-то кашу.

     
     
  • 12.71, Stax, 15:09, 25/11/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да неважно, кто. Я, кстати, тоже оригинальному автору писал, да что-то в моем комментарии вам не понравилось. И зачем вы пытаетесь доказать, что selinux имел какое-то отношение к тому тесту - когда даже при активной политике на nginx, защищающей от уязвимости, в текущем виде он не может продемонстрировать ровным счетом ничего - понять не могу! Вопрос "был ли там включен selinux" (думаю, ответ "да") просто нерелевантен, это ни на что не влияет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor