关于Nginx存在远程、本地权限提升漏洞的安全公告

2016-11-17 14:19:25

安全公告编号:CNTA-2016-0056

近期,国家信息安全漏洞共享平台(CNVD)收录了Nginx存在权限提升漏洞(CNVD-2016-10448,对应CVE-2016-1247)。综合利用该漏洞,本地及远程攻击者可利用该漏洞获取root权限。该产品广泛应用于构建网站服务器,由于漏洞验证信息已经公开,该漏洞可能诱发以控制为目的大规模攻击。

一、漏洞情况分析

nginx是俄罗斯软件开发者Igor Sysoev所研发的一款HTTP和反向代理服务器,也可以作为邮件代理服务器,被广泛应用于网站服务器搭建。Ubuntu官方发布的安全公告称,nginx程序在日志文件处理权限错误,远程攻击者利用该漏洞可获取系统ROOT权限。Debian官方公告称,由于Debian 系统上的nginx服务器包处理日志文件的方式,本地攻击者利用漏洞可访问/var/log/nginx目录,读取日志文件。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞影响基于Debian操作系统的Nginx 1.6.2-5+deb8u3之前的版本,基于Ubuntu16.04 LTS操作系统的1.10.0-0ubuntu0.16.04.3之前版本,基于Ubuntu 14.04LTS操作系统的1.4.6-1ubuntu3.6之前版本,基于Ubuntu16.10操作系统的1.10.1-0ubuntu1.1之前版本。应用Nginx搭建的其他web服务器也可能存在同类安全风险。

根据CNVD秘书处普查情况,受到漏洞影响的运行于Debian操作系统平台的nginx服务器达到118万,而受影响的ubuntu平台nginx服务器更多,达到676万。整体看,受影响较大的排名前五名的国家和地区分别是美国(占比52.4%)、德国(7.1%)、中国(6.3%)、英国(6.8%)、法国(4.4%)。

三、漏洞修复建议

目前,多个系统厂商已发布了漏洞修复方案,用户可将程序分别升级至基于Debian操作系统的Nginx 1.6.2-5+deb8u3版本,基于Ubuntu16.04 LTS操作系统的1.10.0-0ubuntu0.16.04.3版本,基于Ubuntu 14.04 LTS操作系统的1.4.6-1ubuntu3.6版本,基于Ubuntu 16.10操作系统的1.10.1-0ubuntu1.1版本。CNVD建议用户关注厂商主页,升级到最新版本,避免引发漏洞相关的网络安全事件。

附:参考链接:

https://www.debian.org/security/2016/dsa-3701

https://www.ubuntu.com/usn/usn-3114-1/

http://nginx.org/(补丁地址)

http://www.cnvd.org.cn/flaw/show/CNVD-2016-10448