北京時間11月20日,Nginx官方更新郵件列表,對外通報Nginx 0.8.41 - 1.5.6 版本存在兩類高危漏洞,經(jīng)過百度加速樂安全研究團隊確認,漏洞確實存在。使用受影響版本Nginx的網(wǎng)站主要面臨以下風險:
(1)通過Nginx規(guī)則限制后臺地址訪問IP、數(shù)據(jù)庫等敏感地址訪問的網(wǎng)站如果使用受影響版本,可能會造成限制失效。
(2)網(wǎng)站存在上傳功能,攻擊者可以上傳存在惡意代碼的圖片、txt、html文件即可向網(wǎng)站植入后門。
針對這一情況,加速樂已率先更新安全規(guī)則,可以完全防御針對本次漏洞的攻擊。
以下是Nginx官方郵件中文翻譯信息:
Nginx 的安全限制可能會被某些請求給忽略,(CVE-2013-4547).
當我們通過例如下列方式進行 URL 訪問限制的時候,如果攻擊者使用一些沒經(jīng)過轉義的空格字符(無效的 HTTP 協(xié)議,但從 Nginx 0.8.41 開始因為考慮兼容性的問題予以支持)那么這個限制可能無效:
location /protected/ {
deny all;
}
當請求的是 "/foo /../protected/file" 這樣的 URL (靜態(tài)文件,但 foo 后面有一個空格結尾) 或者是如下的配置:
location ~ \.php$ {
fastcgi_pass ...
}
當我們請求 "/file \0.php" 時就會繞過限制。
該問題影響 nginx 0.8.41 - 1.5.6.
該問題已經(jīng)在 Nginx 1.5.7 和 1.4.4 版本中修復。
補丁程序在:
http://nginx.org/download/patch.2013.space.txt
配置上臨時的解決辦法是:
if ($request_uri ~ " ") {
return 444;
}
