当前位置:首页 > 文章资讯 >

【漏洞预警】Nginx/OpenResty 特殊配置下内存泄漏与目录穿越漏洞

发布时间::2020-03-25 15:20    浏览80次

2020年3月18日,阿里云应急响应中心监测到国外安全研究者公开了Nginx/OpenResty在特殊配置下存在内存泄漏或目录穿越漏洞详情。


漏洞描述

Nginx是一个高性能的HTTP和反向代理web服务器,OpenResty是一个基于 Nginx 与 Lua 的高性能Web平台。近日国外安全研究者公开了Nginx/OpenResty在特殊配置下存在内存泄漏或目录穿越漏洞详情。由于Nginx在rewrite功能实现上存在缺陷,以及OpenResty在ngx.req.set_uri()实现上存在缺陷,如果Nginx配置文件中使用了rewrite或者ngx.req.set_uri(),则攻击者可能可以通过构造恶意请求,从而造成内存泄漏或者目录穿越漏洞。阿里云应急响应中心提醒Nginx/OpenResty用户尽快采取安全措施阻止漏洞攻击。



影响版本

nginx <= v1.17.7

openresty <= v1.15.8.2



安全建议

1. Nginx更新至安全版本>=v1.17.9

2. 以下是存在漏洞的配置片段,建议用户自检查配置文件,并禁用相关危险配置。


location ~ /memleak {    rewrite_by_lua_block {        ngx.req.read_body();        local args, err = ngx.req.get_post_args();        ngx.req.set_uri( args["url"], true );    }}location ~ /rewrite {    rewrite ^.*$ $arg_x;}



相关链接

https://www.openwall.com/lists/oss-security/2020/03/18/1

https://hackerone.com/reports/513236



阿里云WAF已可防御此漏洞攻击



关注排行榜more

最新收录more