Sicherheitslücke in Nginx gefunden

12.07.2013

Ein möglicher Buffer Overflow im Nginx-Webserver lässt sich potenziell übers Netz missbrauchen.

Der Sicherheitsexperte Greg MacManus von iSIGHT Partners Labs hat in Nginx eine Sicherheitslücke aufgedeckt, die sich für einen Remote Exploit per Buffer Overflow eignet. Durch entsprechend konstruierte HTTP-Requests können Angreifer damit eigenen Code auf dem Server ausführen. Betroffen sind die Nginx-Versionen 1.3.9 - 1.4.0. In den Nginx-Releases 1.4.1 und 1.5.0 ist das Problem behoben. Als Workaround können Administratoren auch die folgenden Zeilen in jeden Server-Abschnitt der Nginx-Konfiguration einfügen:

if ($http_transfer_encoding ~* chunked) {
     return 444;    
}

Für Debian gibt es seit einigen Tagen aktualisierte Pakete, in denen die Lücke geschlossen wurde. Auf der Security-Mailingliste Full Disclosure wurde währenddessen ein Brute-Force-Exploit für die Lücke gepostet. Andere Teilnehmer der Liste berichteten von weiteren existierenden Exploits.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Exploit für Ruby-Rails-Lücke unterwegs

Für die im Januar entdeckt Sicherheitslücke in Ruby und Rails wurden nun im Internet kursierende Exploits entdeckt. 

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite