Artykuły dotyczące tematu: nginx

dodany: 03.06.2013 | tagi: , , ,

Nginx na obrazach instalacyjnych Ubuntu Server?

1

Chociaż niekwestionowanym liderem wśród używanych serwerów WWW na Linuksie jest Apache, nginx także ma swój ciągle rosnący udział na rynku.Ważnymi zaletami jest mniejsze zapotrzebowanie pamięci oraz licencja BSD.

Jak proponuje Thomas Ward, warto byłoby rozważyć umieszczenie nginksa w repozytorium main Ubuntu. Nie oznacza to zastąpienia Apache, ale dzięki przeniesieniu łatwiej byłoby reagować na luki bezpieczeństwa, a bardzo prawdopodobnie serwer mógłby trafić na obrazy instalacyjne serwerowej edycji dystrybucji. Wiązałoby się to też z zadaniami tasksela, ułatwiającymi instalację serwera i sieciowych aplikacji.

Nie wiadomo czy plany te zostaną zrealizowane – rozwój sytuacji można śledzić na liście dyskusyjnej Ubuntu Server.

dodany: 16.05.2013 | tagi: ,

Kolejna luka w nginx

0

Ponad tydzień temu informowaliśmy o dostępności poprawionej wersji nginksa, popularnego serwera HTTP. Opisana wtedy luka dotyczyła najnowszej stabilnej wersji 1.4.0 i teoretycznie nie była istotna, gdyż większość serwerów używała jeszcze poprzedniej gałęzi przeznaczonej na systemy produkcyjne – 1.2.x.

Tym razem narażeni na atak byli użytkownicy wydań 1.2. Jeżeli dyrektywa proxy_pass wskazywała na niezaufany serwer, właściciel takiego serwera mógł dokonać DoS-a albo uzyskać dostęp do pamięci podprocesu nginksa.

Luka zyskała oznaczenie CVE-2013-2070 i jest powiązana z CVE-2013-2028. Problem dotyczy takich wersji od 1.1.4 do 1.2.8 oraz od 1.3.0 do 1.4.0. Dla wydań starszych od 1.4.0 udostępniono łatkę na kod źródłowy, ukazało się także poprawione wydanie oznaczone wersją 1.2.9.

dodany: 09.05.2013 | tagi: , , , ,

Malware Apache infekuje także nginx i lighttpd

0

Pod koniec kwietnia informowaliśmy o nowym backdoorze atakującym serwery Apache (zobacz newsa: Kolejny backdoor atakujący Apache). Charakteryzował się on tym, że zastępował plik wykonywalny serwera HTTP na maszynach z zainstalowanym cPanelem, tym samym unikając łatwego wykrycia za pomocą narzędzi menedżera pakietów.

Tym razem atakujący obrali za cel rzadziej używane serwery lighttpd i nginx. Poza tym sposób działania malware wygląda podobnie – wybrani odwiedzający trafiają na szkodliwe strony korzystające z zestawów exploitów takich jak Black Hole.

Jak informują badacze z ESET, odnaleziono rootkita na co najmniej 400 serwerach, a 100 tysięcy użytkowników antywirusa tej firmy zostało przekierowanych na takowe strony. Tak jak już pisaliśmy, szkodnik nie infekuje wszystkich odwiedzających – na jednym z zainfekowanych serwerów znaleziono czarną listę IP, wyłączającą prawie połowę adresów IPv4. Użytkownicy z ustawionym fińskim, japońskim, kazachstańskim rosyjskim, ukraińskim lub białoruskim językiem w przeglądarce także są „bezpieczni”.

Samo przekierowanie inaczej przebiega na przeglądarkach w systemie iOS. Internauci trafiający na stronę z pornograficznymi reklamami mają najwidoczniej w inny sposób przynieść zyski – typowy zestaw exploitów jest całkowicie bezużyteczny na większości mobilnych urządzeń.

Plik konfiguracyjny backdoora przechowywany jest bezpośrednio w pamięci – ESET opublikowało narzędzie, dzięki któremu można sprawdzić czy dana maszyna także stała się ofiarą malware. Nadal nie ustalono, w jaki sposób serwery są infekowane, ale badacze przypuszczają, że nie ma jednoznacznego czynnika. Początkowo obwiniano o to cPanel, lecz okazało się, że używany był na małej części zaatakowanych serwerów.


Więcej informacji można znaleźć na blogu ESET.

dodany: 07.05.2013 | tagi: , ,

Ważna łatka dla NGINX

2

Ukazało się kolejne wydanie NGINX-a, które jest sygnowane numerem 1.4.1. W porównaniu do poprzedniej wersji, naprawiono poważny błąd, który prowadził do przepełnienia buforu – problem ten pojawiał się w przypadku specjalnie spreparowanych żądań wobec serwera. W rezultacie przepełnienia możliwe było wykonanie dowolnego kodu.

Słabość ta dotyczy zarówno wersji niedawno wydanej 1.4.0  (zobacz newsa: Nowa wersja nginx 1.4.0), jak i developerskiej 1.3.9, która została wydana w listopadzie 2012 roku. Szczegóły problemu zostały opisane pod CVE-2013-2028. Lukę tę odkrył Greg MacManus z firmy iSIGHT Partners Labs. Paradoksalnie większość stron nadal „stoi” na wydanej rok temu stabilnej wersji 1.2 i tym samym brak aktualnego oprogramowania oznaczał większe bezpieczeństwo.

Oprócz tego została wydana wersja developerska 1.5.0, w której także naprawiono w/w problem. Najnowsze edycje można pobrać bezpośrednio ze strony projektu.

dodany: 12.04.2013 | tagi: , , ,

Luka w mod-security dla Apache i nginx

1

Ukazało się nowe wydanie mod_security dla serwerów WWW Apache i nginx, modułu zabezpieczającego aplikacje sieciowe przed włamaniami, atakami XSS i podobnymi zagrożeniami przez filtrowanie żądań dochodzących do serwera. Wersja 2.7.3 naprawia lukę w parserze XML. Timyr Yunusov i Alexey Osipov z Positive Technologies odkryli, że odpowiednio stworzony plik XML mógł atakującemu dać dostęp do lokalnych plików oraz możliwość nadmiernego wykorzystania CPU lub pamięci. Luka otrzymała sygnaturę CVE-2013-1915.

W liście zmian można znaleźć również dodatkowy przełącznik, SecXmlExternalEntity, kontrolujący czy biblioteka libxml2 będzie ładować zewnętrzne encje podczas przetwarzania plików. Domyślnie jest on wyłączony.

Yunosov i Osipov nie opublikowali jeszcze własnego opisu luki.