The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.11.2016 20:03  Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu

Опубликованы подробности и эксплоит для уязвимости (CVE-2016-1247) в пакете с nginx, в конце октября устранённой в Debian и Ubuntu. Проблема специфична для deb-пакета nginx, не касается самого nginx, и может привести к выполнению кода с правами root при наличии у атакующего прав доступа "www-data" в системе.

Проблема вызвана некорректными настройками доступа к директории с логами web-сервера. Директория с логами /var/log/nginx имеет владельца "www-data", что позволяет пользователю с данными полномочиями произвольно манипулировать файлами в данной директории. При запуске или перезапуске nginx в лог добавляются записи от процесса с правами root. Периодически скрипт ротации логов меняет владельца файлов с логами на "www-data".

Локальный пользователь с правами www-data может создать в директории /var/log/nginx символическую ссылку вместо файла с логом "error.log". Таким образом, направив символическую ссылку "/var/log/nginx/error.log" на другой файл перед перезапуском nginx, можно изменить любой файл в системе. Перезапуск nginx по сигналу USR1 осуществляется скриптом ротации логов, который по умолчанию вызывается из cron.daily каждый день в 6:25.

Для организации запуска кода с правами root в эксплоите осуществляется создание символической ссылки на файл /etc/ld.so.preload (/var/log/nginx/error.log -> /etc/ld.so.preload), который после перезапуска nginx будет создан, а после ротации лога получит владельца www-data, что позволит прописать в нём произвольную библиотеку атакующего, после чего библиотека будет активироваться при выполнении любого исполняемого файла, например, можно запустить suid root приложение /usr/bin/sudo.



  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: nginx, debian
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 21:12, 17/11/2016 [ответить] [смотреть все]
  • –28 +/
    Камон, сириусли Зачем их хранить Линковать на dev null, и все дела ... весь текст скрыт [показать]
     
     
  • 2.4, user455, 21:13, 17/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +54 +/
    администратор локалхоста в чяте.
     
     
  • 3.11, тоже Аноним, 22:53, 17/11/2016 [^] [ответить] [смотреть все]  
  • +8 +/
    Перефразируя известный афоризм: есть администраторы, которые еще не хранят логи...
     
     
  • 4.24, Аноним, 01:37, 18/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    некоторые гоняют при помощи syslog
     
     
  • 5.31, Адекват, 08:11, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    syslog появился до вашего рождения и всех всем устраивал столько лет, сколько ва... весь текст скрыт [показать]
     
     
  • 6.45, Аноним, 17:12, 18/11/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Во-первых, отучайся говорить за всех Это плохая привычка Во-вторых, если бы sy... весь текст скрыт [показать]
     
     
  • 7.65, XoRe, 20:31, 21/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Syslog - это понятие, обобщающее клиента, протокол и сервер Насколько я понял, ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 21:12, 17/11/2016 [ответить] [смотреть все]  
  • +5 +/
    Опять дебиан отличился :) сначала OpenSSL, теперь ngnix...
     
     
  • 2.5, Crazy Alex, 21:35, 17/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тоже мне, сравнил.
     
     
  • 3.6, Аноним, 22:06, 17/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    а что не так и то и другое от кривых рук маинтейнера пакета И учитывая распрос... весь текст скрыт [показать]
     
     
  • 4.8, Crazy Alex, 22:41, 17/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Угу, ботнет от локальной уязвимости Которую ты от ремотной, судя по всему, не о... весь текст скрыт [показать]
     
     
  • 5.12, тоже Аноним, 22:56, 17/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну, на шаред-хостингах нгинкс обычно не может не быть - ради ускорения его непре... весь текст скрыт [показать]
     
     
  • 6.19, Sw00p aka Jerom, 23:57, 17/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    думаю не опасно, если nginx и пхп на разных вирт серверах.
     
  • 6.20, Sw00p aka Jerom, 23:59, 17/11/2016 [^] [ответить] [смотреть все]  
  • +/
    там пхп реверсный шел юзается, ссх там тока админская консоль чтоб запустить рот... весь текст скрыт [показать]
     
  • 6.21, Аноним, 00:09, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    По умолчанию под пользователем www-data выполняются, например, php-скрипты.
     
     
  • 7.22, тоже Аноним, 00:19, 18/11/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    На шаредах php-скрипты выполняются от имени юзеров А nginx, как я это понимаю -... весь текст скрыт [показать]
     
     
  • 8.27, Sw00p aka Jerom, 03:09, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    ну и пхп не требуется, но это же не мешает выполнять system ,exec ,passthru ... весь текст скрыт [показать]
     
     
  • 9.32, тоже Аноним, 08:16, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Удаленно зайти и выполнить описанные в статье действия - мешает.
     
     
  • 10.36, Онанимус, 10:58, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Вам же объясняют любой локальный рут - это возможность поднятия ранее полученно... весь текст скрыт [показать]
     
     
  • 11.37, тоже Аноним, 11:08, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Не понимаю - зачем нужна обсуждаемая уязвимость, если уже получен локальный рут ... весь текст скрыт [показать]
     
     
  • 12.39, Онанимус, 11:30, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Издеваетесь что ли Если хэккер получил удаленного www-data, то его возможности ... весь текст скрыт [показать]
     
     
  • 13.40, тоже Аноним, 12:40, 18/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Конкретно эта ветка и начинается с моего утверждения, что на шаредах пользовател... весь текст скрыт [показать]
     
  • 10.43, Sw00p aka Jerom, 15:45, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    на видео видно как автор через якобы багу загружает на сервер реверсивный пхп ше... весь текст скрыт [показать]
     
     
  • 11.44, тоже Аноним, 16:26, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Еще раз если даже вы получили шелл с правами юзера шаред-хостинга - конкретно э... весь текст скрыт [показать]
     
     
  • 12.48, Sw00p aka Jerom, 23:44, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    я чёт не понял смысла вашего предложения Конкретно эксплоит выполнится, если у ... весь текст скрыт [показать]
     
     
  • 13.50, тоже Аноним, 00:15, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    А юзеры на шареде - это не тот пользователь www-data, от имени которого запускае... весь текст скрыт [показать]
     
  • 6.56, Аноним, 05:54, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Если у кого shared хостинг и логи нжинкса доступны всем подряд - как минимум это... весь текст скрыт [показать]
     
     
  • 7.58, тоже Аноним, 12:43, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Поэтому?..
     
  • 5.33, тигар, 09:13, 18/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    а конфиг iptables sshd нельзя поправить заменить своим на время, используя эту д... весь текст скрыт [показать]
     
     
  • 6.38, Онанимус, 11:13, 18/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Зачем Если есть возможность добраться до этой дыры, то надо ставить реверс шелл... весь текст скрыт [показать]
     
     
  • 7.49, Sw00p aka Jerom, 23:46, 18/11/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    а суть в том, что сразу после сработки логротейта нджинкс не успеет нагадит в не... весь текст скрыт [показать]
     
     
  • 8.51, angra, 01:05, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Походу, ты вообще не понял, как работает эта уязвимость Дело не в logrotate, а ... весь текст скрыт [показать]
     
  • 4.26, Аноним, 02:30, 18/11/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну не совсем, изменение в OpenSSL одобрили сами авторы ... весь текст скрыт [показать]
     
  • 2.10, Вареник, 22:42, 17/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    Каким боком Debian к сборке ngnix под DEB?
     
     
  • 3.17, Michael Shigorin, 23:40, 17/11/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Угадайте с двух, нет, с трёх попыток Третья -- на прочтение DSA-3701 ... весь текст скрыт [показать]
     
  • 1.13, odd.mean, 22:59, 17/11/2016 [ответить] [смотреть все]  
  • +3 +/
    Казалось бы, что мешает использовать
    deb http://nginx.org/packages/debian/ CODENAME nginx
    или
    deb http://nginx.org/packages/mainline/debian/ CODENAME nginx
    ?
    Хотя мэйнтэйнерам, конечно, двойка.
     
     
  • 2.59, Savely Krasovsky, 01:01, 20/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В случае в дебианом там статично слинкована старая OpenSSL 1 0 1, которая не под... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, odd.mean, 21:16, 20/11/2016 [^] [ответить] [смотреть все]  
  • +/
    А вы на какой ветке (ветках)?
     
  • 1.18, ALex_hha, 23:52, 17/11/2016 [ответить] [смотреть все]  
  • +1 +/
    > Опять дебиан отличился :) сначала OpenSSL, теперь ngnix..

    еще стоит вспомнить exim в их исполнении ;)

     
     
  • 2.25, Аноним, 02:03, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    exim стоит вспомнить безотносительно дебиана Хотя что с его конфигаме делают в ... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, rt, 10:57, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Это же самый стабильно-серверный дистрибутив. История с openssh туда же)
     
  • 1.23, Аноним, 00:34, 18/11/2016 [ответить] [смотреть все]  
  • +1 +/
    Сила мелочей, классный эффект Не по теме а почему черепашка а не обезьяна с гра... весь текст скрыт [показать]
     
  • 1.28, Аноним, 07:15, 18/11/2016 [ответить] [смотреть все]  
  • +4 +/
    А почему проблему видят в дебиане, а не в работе nginx с файлами логов При полу... весь текст скрыт [показать]
     
     
  • 2.46, Аноним, 20:21, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Проблемы debian разработчиков nginx не колышат, это только их проблемы - мы лучш... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, angra, 01:09, 19/11/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Для танкистов повторяю, проблема не в debian, а в способе работы с логами в ngin... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 01:48, 19/11/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Из за ваших детских болезней костыли в софт никто добавлять не собирается, если ... весь текст скрыт [показать]
     
  • 1.29, Аноним, 07:41, 18/11/2016 [ответить] [смотреть все]  
  • +/
    Получается, другие каталоги в var log с не-root владельцем тоже потенциально уя... весь текст скрыт [показать]
     
     
  • 2.30, angra, 08:06, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Зависит от того, как программа обрабатывает симлинки В данном случае nginx созд... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, Loly, 10:53, 18/11/2016 [ответить] [смотреть все]  
  • +/
    Red Hat говорит что не проблема:

    https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-1247
    Red Hat Product Security has rated this issue as having Low security impact. This issue is not currently planned to be addressed in future updates. For additional information, refer to the Issue Severity Classification: https://access.redhat.com/security/updates/classification/.

     
     
  • 2.41, анонимус вульгарис, 13:41, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    И после этого ещё катят бочку на Debian, где дыру сразу закрыли.
     
  • 2.42, Stax, 14:47, 18/11/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В редхат nginx не поставку входит, если что Только в epel Это несколько другой... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, angra, 01:24, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Точно защищает Проверял А вот я взял образ centos 6 и проверил root Falcon ... весь текст скрыт [показать]
     
     
  • 4.55, пет, 01:58, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    а центось это не рэдхэт)
     
     
  • 5.61, Stax, 15:29, 20/11/2016 [^] [ответить] [смотреть все]  
  • +/
    > а центось это не рэдхэт)

    В данном контексте - они эквивалентны.

     
  • 4.57, fi, 12:08, 19/11/2016 [^] [ответить] [смотреть все]  
  • +/
    а что с selinux?
     
  • 4.60, Stax, 15:28, 20/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Эээ я прямо даже теряюсь Вы слово selinux видите Политика selinux по умолчан... весь текст скрыт [показать]
     
     
  • 5.63, fi, 13:42, 21/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Эээ я прямо даже теряюсь Вы это видили Default SELinux policies on RHEL and F... весь текст скрыт [показать]
     
     
  • 6.64, Stax, 14:58, 21/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Какое отношение то, что вы написали имеет к командам шелла, выполненным выше ко... весь текст скрыт [показать]
     
     
  • 7.66, fi, 01:14, 23/11/2016 [^] [ответить] [смотреть все]  
  • +/
    а какой процесс по вашему фигурирует тут Прямо детский сад зы selinux с tar... весь текст скрыт [показать]
     
     
  • 8.67, Stax, 15:10, 23/11/2016 [^] [ответить] [смотреть все]  
  • +/
    bash, ls, ln, kill впрочем, тк не usr bin kill, тот же bash , cat Сделайте на... весь текст скрыт [показать]
     
     
  • 9.68, fi, 18:08, 23/11/2016 [^] [ответить] [смотреть все]  
  • +/
    о боже вы не знаете что делает kill посылает сигнал процессу nginx который... весь текст скрыт [показать]
     
     
  • 10.69, Stax, 19:47, 23/11/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну тут уж прямо без комментариев Вы новость вообще читали В чем уязвимость, см... весь текст скрыт [показать]
     
     
  • 11.70, fi, 10:41, 24/11/2016 [^] [ответить] [смотреть все]  
  • +/
    > Что вы пытаетесь показать этим бессмысленным тестом,

    Вы точно уверенны что это был я???  я всего лишь спросил автора теста - был ли при этом selinux, а вы возбудились не по-детски. и нагородили при этом какую-то кашу.

     
     
  • 12.71, Stax, 15:09, 25/11/2016 [^] [ответить] [смотреть все]  
  • +/
    Да неважно, кто. Я, кстати, тоже оригинальному автору писал, да что-то в моем комментарии вам не понравилось. И зачем вы пытаетесь доказать, что selinux имел какое-то отношение к тому тесту - когда даже при активной политике на nginx, защищающей от уязвимости, в текущем виде он не может продемонстрировать ровным счетом ничего - понять не могу! Вопрос "был ли там включен selinux" (думаю, ответ "да") просто нерелевантен, это ни на что не влияет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor