Nginx 和 OpenResty 内存泄漏和目录穿越漏洞的安全评估

Posted 第二层思考

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nginx 和 OpenResty 内存泄漏和目录穿越漏洞的安全评估相关的知识,希望对你有一定的参考价值。

2020 年 3 月 18 号,hackerone 披露了两枚关于 nginx 和 OpenResty 的漏洞,分别涉及到内存泄漏和目录穿越,详细的内容大家可以参考 hackerone (https://hackerone.com/reports/513236) 的分析,我这里补充说明下:


   1. Nginx 的 rewrite 指令在没有检查用户输入的情况下,会导致目录穿越,危险等级:高危

    2. Nginx 的 rewrite 指令在没有检查用户输入的情况下,会导致内存泄漏,危险等级:低危

    3. OpenResty 的 rewrite 指令,以及 ngx.req.set_uri 没有检测非法输入值,会导致内存泄漏和目录穿越,危险等级:高危


其中,第二个低危的漏洞,Nginx 已经在 1.17.7 的版本中修复,用户更新到最新版本即可解决。而且这个漏洞在 Nginx 这种静态配置文件驱动的 web 服务器上很难被利用,除非是用户自己配置了非法字符。


但是,1 和 3 这两个高危的漏洞在报告给 Nginx 和 OpenResty 之后的三、四个月的时间内,一直没有被修复。以下是漏洞披露时间线:


在得知这个安全风险的第一时间,Apache APISIX 的 PPMC 团队就立即针对 Apache APISIX 的风险做了评估,结论是:低危,用户不用做任何处理。原因如下:

  1. Apache APISIX 是纯动态来改写用户请求的,并没有使用 Nginx 的 rewrite 指令;

  2. ngx.req.set_uri 只在 grpc 转码插件中使用了一次,而且是管理员的输入。


但对于正在使用 Nginx 和 OpenResty 的用户而言,在官方修复并发布新版本之前,也可以使用如下方法来处理:

  1. 检测 Nginx 配置文件中的 rewrite 指令,要对用户的输入值做检测,不能无条件转发;

  2. 检查 Nginx 的用户权限,不能是管理员权限;

  3. 对于用户的输入,做非法值过滤后,才能调用 ngx.req.set_uri 和 ngx.req.set_header。

  4. 如果有技术实力,可以自行修复,不用等官方 patch。




最后是广告时间,支流科技提供 Apache APISIX 的商业版本和技术支持,上面这些闹心的事儿都可以交给我们处理,可以直接联系我:


以上是关于Nginx 和 OpenResty 内存泄漏和目录穿越漏洞的安全评估的主要内容,如果未能解决你的问题,请参考以下文章

nginx+openResty

漏洞公告Nginx/OpenResty目录穿越漏洞

OpenResty安装与使用

Nginx+lua+openresty系列 | 第一篇:openresty介绍

内存泄漏-原因避免和定位

openresty编写代码怎么用命令启动和执行