现在的位置: 首页Nginx>正文
nginx空字节允许执行任意代码漏洞
2011年08月26日 Nginx 评论数 1 ⁄ 被围观 13,583 次+

PHP,nginx配置和潜在执行任意代码,我以前的博客文章发布后,我遇到了一个单独的空字节注入漏洞nginx的旧版本(0.5.*,0.6.*,0.7,0.8<=0.7.65<=0.8.37)。通过利用此漏洞,攻击者可以导致服务器使用PHP的FastCGI作为PHP的服务器上执行任何公开访问的文件。

在nginx的含漏洞的版本中,空字节URI中默认允许的(他们的存在是通过命名zero_in_uri在ngx_http_request.h定义一个变量)。单个模块有能力选择退出处理空字节的URI。然而,并非所有这些,特别不FastCGI模块。

这次攻击事件本身很简单:恶意用户发出请求http://example.com/file.ext%00.php的原因file.ext作为PHP解析。如果一个攻击者可以控制文件的内容(即:使用头像上传形式)基结果是执行任意代码。Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码。此漏洞不能得到缓解,像cgi.fix_pathinfo try_files或像PHP配置设置nginx配置设置:唯一的防御升级到较新版本的nginx的或明确地阻止潜在的恶意请求目录包含用户控制的内容。

  1. # This location block will prevent an attacker from exploiting   
  2. # this vulnerability using files in the 'uploads' or 'other_uploads' directory   
  3. location ~ ^/(uploads|other_uploads)/.*.php$   
  4. {   
  5.     deny all;   
  6. }  

虽然nginx的受影响版本比较老(0.7.66发布,2010年6月7日,0.8.38发布了2010年5月24日日),发行说明中没有提到出现的变化。因此,管理员可能没有意识到他们的服务器存在漏洞风险。我发现链接中,包含漏洞的包被分布:
Ubuntu Lucid Lynx (Ubuntu's current LTS offering) and Hardy Heron (via both the hardy and hardy-backports repositories) 通过apt - get提供含漏洞的nginx的版本,lucid和hardy包已经更新。hardy-backports正在等待批复。。Fedora提供了EPEL- 4库的易受攻击的版本。这时,一个更新包还尚未发布。
我发几个电子邮件igor@sysoev.ru方面的漏洞。我6月24日发出第一个和我于7月4日,7月20日和8月2日,followups。我收到了我8月2日的电子邮件答复如下:

Thank you for report.

I do not consider this as nginx security issue since every application
should validate its input data, so nginx passed the data to application.
Also this is PHP installation issue where scripts and user uploaded
data are not separated. This issue was discussed several times on mailing
list.

At some point I've decided that zero byte in URI should not appear
in any encoding, operating system, etc., and just makes more problems
than helps. So I have remove zero byte test.

For anyone who's curious, the changes can be found at r3528 from svn://svn.nginx.org. At that time, it appears trunk corresponded to nginx 0.8: r3599 merged r3528 into the nginx 0.7 branch. The corresponding commit message is "remove r->zero_in_uri." I've reproduced the output of svn diff below:

  1. Index: src/http/ngx_http_request.h   
  2. ===================================================================   
  3. --- src/http/ngx_http_request.h (revision 3527)   
  4. +++ src/http/ngx_http_request.h (revision 3528)   
  5. @@ -56,7 +56,7 @@
  6.  #define NGX_HTTP_PARSE_INVALID_HEADER      13   
  7.     
  8. -#define NGX_HTTP_ZERO_IN_URI               1   
  9. +/* unused                                  1 */
  10.  #define NGX_HTTP_SUBREQUEST_IN_MEMORY      2  
  11.  #define NGX_HTTP_SUBREQUEST_WAITED         4  
  12.  #define NGX_HTTP_LOG_UNSAFE                8   
  13. @@ -435,9 +435,6 @@   
  14.      /* URI with "+" */  
  15.      unsigned                          plus_in_uri:1;   
  16.     
  17. -    /* URI with "\0" or "%00" */  
  18. -    unsigned                          zero_in_uri:1;   
  19. -   
  20.      unsigned                          invalid_header:1;   
  21.     
  22.      unsigned                          valid_location:1;   
  23. Index: src/http/ngx_http_core_module.c   
  24. ===================================================================   
  25. --- src/http/ngx_http_core_module.c (revision 3527)   
  26. +++ src/http/ngx_http_core_module.c (revision 3528)   
  27. @@ -1341,7 +1341,7 @@   
  28.     
  29.      /* no content handler was found */  
  30.     
  31. -    if (r->uri.data[r->uri.len - 1] == '/' && !r->zero_in_uri) {   
  32. +    if (r->uri.data[r->uri.len - 1] == '/') {   
  33.     
  34.          if (ngx_http_map_uri_to_path(r, &path, &root, 0) != NULL) {   
  35.              ngx_log_error(NGX_LOG_ERR, r->connection->log, 0,   
  36. @@ -2104,7 +2104,6 @@   
  37.      ngx_log_debug2(NGX_LOG_DEBUG_HTTP, c->log, 0,   
  38.                     "http subrequest \"%V?%V\"", uri, &sr->args);   
  39.     
  40. -    sr->zero_in_uri = (flags & NGX_HTTP_ZERO_IN_URI) != 0;   
  41.      sr->subrequest_in_memory = (flags & NGX_HTTP_SUBREQUEST_IN_MEMORY) != 0;   
  42.      sr->waited = (flags & NGX_HTTP_SUBREQUEST_WAITED) != 0;   
  43.     
  44. Index: src/http/ngx_http_special_response.c   
  45. ===================================================================   
  46. --- src/http/ngx_http_special_response.c    (revision 3527)   
  47. +++ src/http/ngx_http_special_response.c    (revision 3528)   
  48. @@ -517,8 +517,6 @@   
  49.     
  50.      r->err_status = overwrite;   
  51.     
  52. -    r->zero_in_uri = 0;   
  53. -   
  54.      if (ngx_http_complex_value(r, &err_page->value, &uri) != NGX_OK) {   
  55.          return NGX_ERROR;   
  56.      }   
  57. Index: src/http/ngx_http_upstream.c   
  58. ===================================================================   
  59. --- src/http/ngx_http_upstream.c    (revision 3527)   
  60. +++ src/http/ngx_http_upstream.c    (revision 3528)   
  61. @@ -1815,10 +1815,6 @@   
  62.              return NGX_DONE;   
  63.          }   
  64.     
  65. -        if (flags & NGX_HTTP_ZERO_IN_URI) {   
  66. -            r->zero_in_uri = 1;   
  67. -        }   
  68. -   
  69.          if (r->method != NGX_HTTP_HEAD) {   
  70.              r->method = NGX_HTTP_GET;   
  71.          }   
  72. Index: src/http/ngx_http_parse.c   
  73. ===================================================================   
  74. --- src/http/ngx_http_parse.c   (revision 3527)   
  75. +++ src/http/ngx_http_parse.c   (revision 3528)   
  76. @@ -438,8 +438,7 @@   
  77.                  r->plus_in_uri = 1;   
  78.                  break;   
  79.              case '\0':   
  80. -                r->zero_in_uri = 1;   
  81. -                break;   
  82. +                return NGX_HTTP_PARSE_INVALID_REQUEST;   
  83.              default:   
  84.                  state = sw_check_uri;   
  85.                  break;   
  86. @@ -496,8 +495,7 @@   
  87.                  r->plus_in_uri = 1;   
  88.                  break;   
  89.              case '\0':   
  90. -                r->zero_in_uri = 1;   
  91. -                break;   
  92. +                return NGX_HTTP_PARSE_INVALID_REQUEST;   
  93.              }   
  94.              break;   
  95.     
  96. @@ -526,8 +524,7 @@   
  97.                  r->complex_uri = 1;   
  98.                  break;   
  99.              case '\0':   
  100. -                r->zero_in_uri = 1;   
  101. -                break;   
  102. +                return NGX_HTTP_PARSE_INVALID_REQUEST;   
  103.              }   
  104.              break;   
  105.     
  106. @@ -1202,7 +1199,7 @@   
  107.                      ch = *p++;   
  108.     
  109.                  } else if (ch == '\0') {   
  110. -                    r->zero_in_uri = 1;   
  111. +                    return NGX_HTTP_PARSE_INVALID_REQUEST;   
  112.                  }   
  113.     
  114.                  state = quoted_state;   
  115. @@ -1304,8 +1301,7 @@   
  116.          }   
  117.     
  118.          if (ch == '\0') {   
  119. -            *flags |= NGX_HTTP_ZERO_IN_URI;   
  120. -            continue;   
  121. +            goto unsafe;   
  122.          }   
  123.     
  124.          if (ngx_path_separator(ch) && len > 2) {   
  125. @@ -1449,34 +1445,19 @@   
  126.  void  
  127.  ngx_http_split_args(ngx_http_request_t *r, ngx_str_t *uri, ngx_str_t *args)   
  128.  {   
  129. -    u_char  ch, *p, *last;   
  130. +    u_char  *p, *last;   
  131.     
  132. -    p = uri->data;   
  133. +    last = uri->data + uri->len;   
  134.     
  135. -    last = p + uri->len;   
  136. +    p = ngx_strlchr(uri->data, last, '?');   
  137.     
  138. -    args->len = 0;   
  139. +    if (p) {   
  140. +        uri->len = p - uri->data;   
  141. +        p++;   
  142. +        args->len = last - p;   
  143. +        args->data = p;   
  144.     
  145. -    while (p < last) {   
  146. -   
  147. -        ch = *p++;   
  148. -   
  149. -        if (ch == '?') {   
  150. -            args->len = last - p;   
  151. -            args->data = p;   
  152. -   
  153. -            uri->len = p - 1 - uri->data;   
  154. -   
  155. -            if (ngx_strlchr(p, last, '\0') != NULL) {   
  156. -                r->zero_in_uri = 1;   
  157. -            }   
  158. -   
  159. -            return;   
  160. -        }   
  161. -   
  162. -        if (ch == '\0') {   
  163. -            r->zero_in_uri = 1;   
  164. -            continue;   
  165. -        }   
  166. +    } else {   
  167. +        args->len = 0;   
  168.      }   
  169.  }   
  170. Index: src/http/modules/ngx_http_gzip_static_module.c   
  171. ===================================================================   
  172. --- src/http/modules/ngx_http_gzip_static_module.c  (revision 3527)   
  173. +++ src/http/modules/ngx_http_gzip_static_module.c  (revision 3528)   
  174. @@ -89,10 +89,6 @@   
  175.          return NGX_DECLINED;   
  176.      }   
  177.     
  178. -    if (r->zero_in_uri) {   
  179. -        return NGX_DECLINED;   
  180. -    }   
  181. -   
  182.      gzcf = ngx_http_get_module_loc_conf(r, ngx_http_gzip_static_module);   
  183.     
  184.      if (!gzcf->enable) {   
  185. Index: src/http/modules/ngx_http_index_module.c   
  186. ===================================================================   
  187. --- src/http/modules/ngx_http_index_module.c    (revision 3527)   
  188. +++ src/http/modules/ngx_http_index_module.c    (revision 3528)   
  189. @@ -116,10 +116,6 @@   
  190.          return NGX_DECLINED;   
  191.      }   
  192.     
  193. -    if (r->zero_in_uri) {   
  194. -        return NGX_DECLINED;   
  195. -    }   
  196. -   
  197.      ilcf = ngx_http_get_module_loc_conf(r, ngx_http_index_module);   
  198.      clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);   
  199.     
  200. Index: src/http/modules/ngx_http_random_index_module.c   
  201. ===================================================================   
  202. --- src/http/modules/ngx_http_random_index_module.c (revision 3527)   
  203. +++ src/http/modules/ngx_http_random_index_module.c (revision 3528)   
  204. @@ -86,10 +86,6 @@   
  205.          return NGX_DECLINED;   
  206.      }   
  207.     
  208. -    if (r->zero_in_uri) {   
  209. -        return NGX_DECLINED;   
  210. -    }   
  211. -   
  212.      if (!(r->method & (NGX_HTTP_GET|NGX_HTTP_HEAD|NGX_HTTP_POST))) {   
  213.          return NGX_DECLINED;   
  214.      }   
  215. Index: src/http/modules/ngx_http_dav_module.c   
  216. ===================================================================   
  217. --- src/http/modules/ngx_http_dav_module.c  (revision 3527)   
  218. +++ src/http/modules/ngx_http_dav_module.c  (revision 3528)   
  219. @@ -146,10 +146,6 @@   
  220.      ngx_int_t                 rc;   
  221.      ngx_http_dav_loc_conf_t  *dlcf;   
  222.     
  223. -    if (r->zero_in_uri) {   
  224. -        return NGX_DECLINED;   
  225. -    }   
  226. -   
  227.      dlcf = ngx_http_get_module_loc_conf(r, ngx_http_dav_module);   
  228.     
  229.      if (!(r->method & dlcf->methods)) {   
  230. Index: src/http/modules/ngx_http_flv_module.c   
  231. ===================================================================   
  232. --- src/http/modules/ngx_http_flv_module.c  (revision 3527)   
  233. +++ src/http/modules/ngx_http_flv_module.c  (revision 3528)   
  234. @@ -80,10 +80,6 @@   
  235.          return NGX_DECLINED;   
  236.      }   
  237.     
  238. -    if (r->zero_in_uri) {   
  239. -        return NGX_DECLINED;   
  240. -    }   
  241. -   
  242.      rc = ngx_http_discard_request_body(r);   
  243.     
  244.      if (rc != NGX_OK) {   
  245. Index: src/http/modules/ngx_http_static_module.c   
  246. ===================================================================   
  247. --- src/http/modules/ngx_http_static_module.c   (revision 3527)   
  248. +++ src/http/modules/ngx_http_static_module.c   (revision 3528)   
  249. @@ -66,10 +66,6 @@   
  250.          return NGX_DECLINED;   
  251.      }   
  252.     
  253. -    if (r->zero_in_uri) {   
  254. -        return NGX_DECLINED;   
  255. -    }   
  256. -   
  257.      log = r->connection->log;   
  258.     
  259.      /*   
  260. Index: src/http/modules/ngx_http_autoindex_module.c   
  261. ===================================================================   
  262. --- src/http/modules/ngx_http_autoindex_module.c    (revision 3527)   
  263. +++ src/http/modules/ngx_http_autoindex_module.c    (revision 3528)   
  264. @@ -160,10 +160,6 @@   
  265.          return NGX_DECLINED;   
  266.      }   
  267.     
  268. -    if (r->zero_in_uri) {   
  269. -        return NGX_DECLINED;   
  270. -    }   
  271. -   
  272.      if (!(r->method & (NGX_HTTP_GET|NGX_HTTP_HEAD))) {   
  273.          return NGX_DECLINED;   
  274.      }   
  275. Index: src/http/modules/perl/ngx_http_perl_module.c   
  276. ===================================================================   
  277. --- src/http/modules/perl/ngx_http_perl_module.c    (revision 3527)   
  278. +++ src/http/modules/perl/ngx_http_perl_module.c    (revision 3528)   
  279. @@ -168,10 +168,6 @@   
  280.  static ngx_int_t   
  281.  ngx_http_perl_handler(ngx_http_request_t *r)   
  282.  {   
  283. -    if (r->zero_in_uri) {   
  284. -        return NGX_HTTP_NOT_FOUND;   
  285. -    }   
  286. -   
  287.      r->main->count++;   
  288.     
  289.      ngx_http_perl_handle_request(r);  

文章出自:https://nealpoole.com/blog/2011/07/possible-arbitrary-code-execution-with-null-bytes-php-and-old-versions-of-nginx/

本文地址:http://www.92csz.com/11/908.html
如非注明则为本站原创文章,欢迎转载。转载请注明转载自:moon's blog
 

目前有 1 条留言 其中:访客:1 条, 博主:0 条

  1. 小也 : 2011年08月26日12:59:11  1楼

    刚光临你的博客感觉不错,有兴趣来博客盒子http://www.blogbox.so看看 一个个人博客logo连接网站。提交博客logo马上加入吧。。有助你的流量提升哦,至于你信不信,反正我是信了!
    jr.gif[img