VPS侦探 » 漏洞

再提供一种解决Nginx文件类型错误解析漏洞的方法

VPSer — Fri, 21 May 2010 17:11:20 +0000

昨日，80Sec 爆出Nginx具有严重的0day漏洞，详见《Nginx文件类型错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器，就有被入侵的可能。

其实此漏洞并不是Nginx的漏洞，而是PHP PATH_INFO的漏洞，详见：http://bugs.php.net/bug.php?id=50852&edit=1

例如用户上传了一张照片，访问地址为http://www.domain.com/images/test.jpg，而test.jpg文件内的内容实际上是PHP代码时，通过http://www.domain.com/images/test.jpg/abc.php就能够执行该文件内的PHP代码。

网上提供的临时解决方法有：

方法①、修改php.ini，设置 cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用，例如我以前博文的URL：http://blog.s135.com/read.php/348.htm 就不能访问了。

方法②、在nginx的配置文件添加如下内容后重启：if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。该匹配同样会一并干掉类似“/read.php/348.htm”的URI。

方法③、对于存储图片的location{...}，或虚拟主机server{...}，只允许纯静态访问，不配置PHP访问。例如在金山逍遥网论坛、 SNS上传的图片、附件，会传送到专门的图片、附件存储服务器集群上（pic.xoyo.com），这组服务器提供纯静态服务，无任何动态PHP配置。各大网站几乎全部进行了图片服务器分离，因此Nginx的此次漏洞对大型网站影响不大。

本人再提供一种修改 nginx.conf配置文件的临时解决方法，兼容“http://blog.s135.com/demo/0day/phpinfo.php/test” 的PATH_INFO伪静态，拒绝“http://blog.s135.com/demo/0day/phpinfo.jpg/test.php” 的漏洞攻击：

location ~* .*\.php($|/)
{
if ($request_filename ~* .*\.php$) {
set $is_path_info '0';
}
if (-e $request_filename) {
set $is_path_info '1';
}
if ($is_path_info ~ '0') {
return 403;
}

fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

也可将以下内容写在 fcgi.conf文件中，便于多个虚拟主机引用：

if ($request_filename ~* .*\.(php|php5)$) {
set $is_path_info '0';
}
if (-e $request_filename) {
set $is_path_info '1';
}
if ($is_path_info ~ '0') {
return 403;
}

fastcgi_param GATEWAY_INTERFACE CGI/1.1;
fastcgi_param SERVER_SOFTWARE nginx;

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  SCRIPT_NAME        $uri;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param REDIRECT_STATUS 200;

转载自：http://blog.s135.com/nginx_0day/

© VPSer for VPS侦探, 2010. | Permalink | One comment | Add to del.icio.us
Post tags: Nginx, PATH_INFO, PHP, 漏洞

 美国VPS推荐 | 军哥代购 - 提供美国及海外VPS/VPN/域名代购，美元/欧元代付 QQ：503228080

nginx文件类型错误解析漏洞

VPSer — Fri, 21 May 2010 02:24:00 +0000

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。
漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ { root html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; include fastcgi_params; }
的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI
/80sec.jpg/80sec.php
经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为
/scripts/80sec.jpg/80sec.php
而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为
/scripts/80sec.jpg
所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为
/scripts/80sec.jpg和80sec.php
最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC：访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt
HTTP/1.1 200 OK Server: nginx/0.6.32 Date: Thu, 20 May 2010 10:05:30 GMT Content-Type: text/plain Content-Length: 18 Last-Modified: Thu, 20 May 2010 06:26:34 GMT Connection: keep-alive Keep-Alive: timeout=20 Accept-Ranges: bytes
访问访问http://www.80sec.com/robots.txt/80sec.php
HTTP/1.1 200 OK Server: nginx/0.6.32 Date: Thu, 20 May 2010 10:06:49 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: keep-alive Keep-Alive: timeout=20 X-Powered-By: PHP/5.2.6
其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

解决方案1：修改/usr/local/php/etc/php.ini将cgi.fix_pathinfo设为0 （注：前面可能有注释符号; 需要删除掉。），执行/usr/local/php/sbin/php-fpm restart重启。

lnmp一键安装包用户可以直接执行命令：sed -i 's/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g' /usr/local/php/etc/php.ini 再执行：/usr/local/php/sbin/php-fpm restart重启即可修复完成。

解决方案2：为nginx虚拟主机添加如下内容：
if ( $fastcgi_script_name ~ \..*\/.*php ) { return 403; }

PS: 鸣谢laruence大牛在分析过程中给的帮助

转载自：http://www.80sec.com/nginx-securit.html

© VPSer for VPS侦探, 2010. | Permalink | 2 comments | Add to del.icio.us
Post tags: Nginx, pathinfo, 文件类型, 漏洞

 美国VPS推荐 | 军哥代购 - 提供美国及海外VPS/VPN/域名代购，美元/欧元代付 QQ：503228080

HyperVM控制面板再爆漏洞，各位VPSer赶快备份数据

VPSer — Mon, 08 Jun 2009 15:35:56 +0000

HyperVM是使用很广泛的控制面板(HyperVM使用教程/手册)，最近HyperVM再次被曝又出现安全问题。

关于漏洞的详细资料可以参考：http://www.milw0rm.com/exploits/8880 (英文)

据milw0rm说：在两周前已经将漏洞报告给了lxlabs，但是lxlabs仍然没有修复漏洞，最终导致很多使用HyperVM的主机被入侵，很多VPS被删除。现在国内外多家VPS提供商，都已暂时将HyperVM关闭。如：DiaVPS

目前受影响最大的是拥有上千位VPS用户的vaserv.com主机商几乎所有主机都受到入侵，必须重新安装操作系统，然后重新还原资料，截至目前为止，至少有17台主机的资料全毁。
详情查看：http://66.71.245.2/~vaservc/

RASHOST VPS的用户就不必惊慌了，RASHOST使用自主开发的RAS-Shell面板，所以不受此影响。

在这里Licess提醒各位VPSer：VPS有价，数据无价，请养成经常备份的习惯，或者写个脚本自动完成备份！！！！

祝各位使用FSCKVPS尽快找回数据，尽快恢复生产。同时也希望FSCKVPS能够处理好相关的事宜。

© VPSer for VPS侦探, 2009. | Permalink | 3 comments | Add to del.icio.us
Post tags: FSCKVPS, HyperVM, lxlabs, vaserv, 漏洞

 美国VPS推荐 | 军哥代购 - 提供美国及海外VPS/VPN/域名代购，美元/欧元代付 QQ：503228080

VPS侦探 » 漏洞

再提供一种解决Nginx文件类型错误解析漏洞的方法

相关文章：

nginx文件类型错误解析漏洞

相关文章：

HyperVM控制面板再爆漏洞，各位VPSer赶快备份数据

相关文章：