Sicherheitslücke in Nginx gefunden

12.07.2013

Ein möglicher Buffer Overflow im Nginx-Webserver lässt sich potenziell übers Netz missbrauchen.

Der Sicherheitsexperte Greg MacManus von iSIGHT Partners Labs hat in Nginx eine Sicherheitslücke aufgedeckt, die sich für einen Remote Exploit per Buffer Overflow eignet. Durch entsprechend konstruierte HTTP-Requests können Angreifer damit eigenen Code auf dem Server ausführen. Betroffen sind die Nginx-Versionen 1.3.9 - 1.4.0. In den Nginx-Releases 1.4.1 und 1.5.0 ist das Problem behoben. Als Workaround können Administratoren auch die folgenden Zeilen in jeden Server-Abschnitt der Nginx-Konfiguration einfügen:

if ($http_transfer_encoding ~* chunked) {
     return 444;    
}

Für Debian gibt es seit einigen Tagen aktualisierte Pakete, in denen die Lücke geschlossen wurde. Auf der Security-Mailingliste Full Disclosure wurde währenddessen ein Brute-Force-Exploit für die Lücke gepostet. Andere Teilnehmer der Liste berichteten von weiteren existierenden Exploits.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Exploit für Ruby-Rails-Lücke unterwegs

Für die im Januar entdeckt Sicherheitslücke in Ruby und Rails wurden nun im Internet kursierende Exploits entdeckt. 

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018