Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода

20 октября 2019 года

В http-сервере Nostromo (nhttpd) выявлена уязвимость (CVE-2019-16278), позволяющая атакующему удалённо выполнить свой код на сервере через отправку специально оформленного HTTP-запроса. Проблема будет устранена в выпуске 1.9.7 (ещё не опубликован). Судя по информации от поисковой системы Shodan http-сервер Nostromo используется примерно на 2000 публично доступных хостах.

Уязвимость вызвана ошибкой в функции http_verify, пропускающей обращение к содержимому файловой системы за пределами корневого каталога сайта через передачу в пути последовательности ".%0d./". Уязвимость проявляется так как проверка на наличие символов "../" производится до выполнения функции нормализации пути, в которой из строки удаляются символы перевода строки (%0d).

Для эксплуатации уязвимости можно обратиться к /bin/sh вместо CGI-скрипта и выполнить любую shell-конструкцию, отправив POST-запрос к URI "/.%0d./.%0d./.%0d./.%0d./bin/sh" и передав команды в теле запроса. Интересно, что в 2011 году в Nostromo уже была исправлена похожая уязвимость (CVE-2011-0751), которая позволяла атаковать через отправку запроса "/..%2f..%2f..%2fbin/sh".

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.