漏洞发现人:Dawid Golunski
CVE编号 :CVE-2016-1247
发行日期 :15.11.2016
安全级别 :高
背景介绍
Nginx是一个高性能的HTTP和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发,其特点是占有内存少,并发能力强。
漏洞描述
Debian、Ubuntu发行版的Nginx在新建日志目录的时,使用了不安全的权限,因此本地恶意攻击者可以从nginx/web用户权限(www-data)提升到ROOT。
漏洞概要
Debian发行版的Nginx本地提权漏洞,该漏洞已经在1.6.2-5+deb8u3中修复
因为该漏洞细节是在官方修复后公布的,因此请低版本的Debian/ubuntu用户及时更新补丁:
补丁修复情况:
Debian:
在Nginx 1.6.2-5+deb8u3中修复
Ubuntu:
Ubuntu 16.04 LTS:
在1.10.0-0ubuntu0.16.04.3中修复
Ubuntu 14.04 LTS:
在1.4.6-1ubuntu3.6中修复
Ubuntu 16.10:
在1.10.1-0ubuntu1.1中修复
漏洞细节
基于Debian系统默认安装的Nginx会在下面的路径使用下面的权限新建Nginx日志目录root@xenial:~# ls -ld /var/log/nginx/drwxr-x--- 2 www-data adm 4096 Nov 12 22:32 /var/log/nginx/root@xenial:~# ls -ld /var/log/nginx/*-rw-r----- 1 www-data adm 0 Nov 12 22:31 /var/log/nginx/access.log-rw-r--r-- 1 root root 0 Nov 12 22:47 /var/log/nginx/error.log我们可以看到/var/log/nginx目录的拥有者是www-data,因此本地攻击者可以通过符号链接到任意文件来替换日志文件,从而实现提权。
攻击者通过符号链接替换了日志文件后,需要等nginx daemon重新打开日志文件,因此需要重启Nginx,或者nginx damon接受USR1进程信号。
这里亮点来了,USR1进程信号会在默认安装的Nginx通过logrotate脚本调用的do_rotate()函数自动触发。
--------[ /etc/logrotate.d/nginx ]--------/var/log/nginx/*.log {dailymissingokrotate 52compressdelaycompressnotifemptycreate 0640 www-data admsharedscriptsprerotateif [ -d /etc/logrotate.d/httpd-prerotate ]; then \run-parts /etc/logrotate.d/httpd-prerotate; \fi \endscriptpostrotateinvoke-rc.d nginx rotate >/dev/null 2>&1endscript}[...]do_rotate() {start-stop-daemon --stop --signal USR1 --quiet --pidfile $PID --name $NAMEreturn 0}[...]我们可以看到logrotation脚本会在corn中每天6:25AM自动调用,因此如果/etc/logrotate.d/nginx已经设置了'daily'日志回滚,攻击者将在不需要任何系统管理员交互的情况下,在24小时内实现提权到ROOT
漏洞验证截图
poc请见:http://bobao.360.cn/learning/detail/3195.html
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 启信宝银行业解决方案入选2024未来数商大会优秀场景应用案例
- 数据中心竞争拉开帷幕,领先者抓住价值并打造持久竞争优势|观点
- 用AI应对网络安全挑战,思科推出“HyperShield”安全系统
- 工信部:我国智能算力规模已达70EFLOPS
- 联想ISG陈振宽:万全异构智算平台具有五大技术创新
- 联想SSG戴炜:一擎三箭,SSG中国全面升级产品架构
- 联想SSG黄建恒:人工智能对方案服务带来三大机遇
- 市工业和信息化局组织召开2024年全市软件产业工作会暨软件年报推进会
- 机器人现在占全球互联网流量的近一半|报告
- 到2028年,高级分析市场将达到1610亿美元
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
