登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于Nginx空格解析安全绕过漏洞的情况通报

2013-11-22 16:09:38
安全公告编号:CNTA-2013-0037

近日,国家信息安全漏洞共享平台CNVD收录了Nginx空格解析安全绕过漏洞 (收录编号: CNVD-2013-14593,对应CVE-2013-4547)。利用该漏洞,攻击者可以绕过安全限制,在服务器特定配置条件下可发起远程攻击,执行未授权操作,构成信息泄露和运行安全风险。具体情况通报如下:

一、 漏洞情况分析

Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。Nginx存在空格解析安全绕过漏洞的技术成因是由于Nginx对HTTP协议解析时,库文件ngx_http_parse.c存在字符串回溯的设计缺陷。攻击者通过构造一些包含未经过转义的空格字符的URL,有可能绕过网站服务器访问权限,执行读取、新增页面操作。CNVD后续分析认为,该漏洞利用条件存在一定的限制,与管理员设置网站路径与目录名称相关。此外,若管理员在服务器端做好URL转义处理,也可以较好地防范向网站服务器植入网页后门(webshell)的攻击请求。

二、漏洞影响范围

CNVD对漏洞的综合评级为“中危”。目前受影响的版本为Nginx 0.8.41 - 1.5.6。经CNVD评估,目前尚未构成利用漏洞发起大规模网站攻击的条件。

三、漏洞处置建议

目前Nginx 1.5.7和1.4.4版本已经修复该问题,CNVD建议广大用户采取如下措施:

(一)升级相应对的Nginx版本,或下载补丁程序:http://nginx.org/download/patch.2013.space.txt,替换ngx_http_parse.c文件。

(二)管理员要注意检查网站可访问目录名称,避免在命名中出现空格。此外,可以在Nginx配置文件中上加入类似if ($request_uri ~ "") {  return 444;  }的限制条件,防范恶意构造的包含空格的URL请求,对其不返回请求响应。

如需技术支援,请与CNVD联系。联系方式:010-82990286,vreport@cert.org.cn。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2013-14593

http://mailman.nginx.org/pipermail/nginx-ru/2013-November/052575.html

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论