OpenForum RSS: Root-уязвимость из-за некорректных настроек в пакете nginx д... https://opennet.me/openforum/vsluhforumID3/109680.html Опубликованы (http://openwall.com/lists/oss-security/2016/11/16/2) подробности и эксплоит для уязвимости (CVE-2016-1247 (https://security-tracker.debian.org/tracker/CVE-2016-1247)) в пакете с nginx, в конце октября устранённой в Debian (https://www.debian.org/security/2016/dsa-3701) и Ubuntu (https://www.ubuntu.com/usn/usn-3114-1/). Проблема специфична (https://legalhackers.com/advisories/Nginx-Exploit-Deb-Root-PrivEsc-CVE-2016-1247.html) для deb-пакета nginx, не касается самого nginx, и может привести к выполнению кода с правами root при наличии у атакующего прав доступа "www-data" в системе.<br><br><br><br>Проблема вызвана (https://legalhackers.com/advisories/Nginx-Exploit-Deb-Root-PrivEsc-CVE-2016-1247.html) некорректными настройками доступа к директории с логами web-сервера. Директория с логами /var/log/nginx имеет владельца "www-data", что позволяет пользователю с данными полномочиями произвольно манипулировать файлами в данной директории. При запуске или перезапуске nginx в лог добавляются записи от процесса Root-уязвимость из-за некорректных настроек в пакете nginx д... (Виктор) https://opennet.me/openforum/vsluhforumID3/109680.html#74 Sat, 16 May 2020 17:36:06 GMT Stax лучше бы ты сосал<br> Я дьячков (Виктор) https://opennet.me/openforum/vsluhforumID3/109680.html#73 Sat, 16 May 2020 17:34:06 GMT Я мучую детей в школе.<br> Root-уязвимость из-за некорректных настроек в пакете nginx д... (Stax) https://opennet.me/openforum/vsluhforumID3/109680.html#71 Fri, 25 Nov 2016 12:09:21 GMT Да неважно, кто. Я, кстати, тоже оригинальному автору писал, да что-то в моем комментарии вам не понравилось. И зачем вы пытаетесь доказать, что selinux имел какое-то отношение к тому тесту - когда даже при активной политике на nginx, защищающей от уязвимости, в текущем виде он не может продемонстрировать ровным счетом ничего - понять не могу! Вопрос "был ли там включен selinux" (думаю, ответ "да") просто нерелевантен, это ни на что не влияет.<br> Root-уязвимость из-за некорректных настроек в пакете nginx д... (fi) https://opennet.me/openforum/vsluhforumID3/109680.html#70 Thu, 24 Nov 2016 07:41:22 GMT &gt; Что вы пытаетесь показать этим бессмысленным тестом, <br><br>Вы точно уверенны что это был я??? я всего лишь спросил автора теста - был ли при этом selinux, а вы возбудились не по-детски. и нагородили при этом какую-то кашу.<br><br> Root-уязвимость из-за некорректных настроек в пакете nginx д... (Stax) https://opennet.me/openforum/vsluhforumID3/109680.html#69 Wed, 23 Nov 2016 16:47:14 GMT &gt; о боже! вы не знаете что делает "kill"??? посылает сигнал процессу nginx который в нужном контексте - это же очевидно!!!<br>&gt; &#171;Управление nginx: USR1 переоткрытие лог-файлов&#187;<br><br>Ну тут уж прямо без комментариев. Вы новость вообще читали? В чем уязвимость, смотрели?<br>Из-за прав на каталог, принадлежащих nginx, можно сделать манипуляцию из кода, выполняющегося из под nginx с правами www-data (напр cgi и прочему).<br><br>В редхате политика selinux БЛОКИРУЕТ данную возможность. Нельзя из под nginx ничего там делать. Только логгер с правами рута может туда что-то писать и что-то менять, а обычный код, выполняющийся из-под nginx с правами www-data - не может. Хотя по привилегиям возможно, как и в дебиане, но selinux блокирует.<br><br>Что вы пытаетесь показать этим бессмысленным тестом, создавая симлинк из-под рута, я не понимаю. Разумеется, selinux не распространяется на команду ln из рутового шелла. И дает вам это сделать. Но предполагаемый реальный вектор атаки - блокируется.<br><br>А kill тут вообще не при чем. Root-уязвимость из-за некорректных настроек в пакете nginx д... (fi) https://opennet.me/openforum/vsluhforumID3/109680.html#68 Wed, 23 Nov 2016 15:08:07 GMT &gt;&gt; а какой процесс по вашему фигурирует тут?<br>&gt; kill<br><br>о боже! вы не знаете что делает "kill"??? посылает сигнал процессу nginx который в нужном контексте - это же очевидно!!!<br><br>&#171;Управление nginx: USR1переоткрытие лог-файлов&#187;<br><br>зы2<br>&gt; Когда вы дергаете из консоли утилиты общего назначения, ни на что из них политика не распространяется<br><br>смотрим:<br><br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 xvinfo<br>-rwxr-xr-x. root root system_u:object_r:xserver_exec_t:s0 Xvnc<br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 xwininfo<br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 xxd<br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 xxkb<br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 xz<br>lrwxrwxrwx. root root system_u:object_r:bin_t:s0 xzcat -&gt; xz<br>lrwxrwxrwx. root root system_u:object_r:bin_t:s0 xzcmp -&gt; xzdiff<br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 xzdec<br>-rwxr-xr-x. root root system_u:object_r:bin_t:s0 Root-уязвимость из-за некорректных настроек в пакете nginx д... (Stax) https://opennet.me/openforum/vsluhforumID3/109680.html#67 Wed, 23 Nov 2016 12:10:59 GMT &gt; а какой процесс по вашему фигурирует тут?<br><br>bash, ls, ln, kill (впрочем, тк не /usr/bin/kill, тот же bash), cat. Сделайте на бинарники ls -lZ и убедитесь, что это unconfined_t<br><br>Но дело даже совсем не в этом. Даже если *был бы* контекст и selinux что-то им запрещал - это был бы *совершенно другой* контекст, чем у nginx (впрочем, в этом случае ls -Z не показал бы всей правды - нужно смотреть через selinuxexeccon, что во что может перейти, а что во что не может). Поэтому данный тест не имеет смысла по определению для выяснения вопроса "влияет selinux на nginx или нет". Если вы не верите умению читать политику selinux, реальный тест можно провести только из самого приложения. Ну или сделайте себе копию /bin/bash, через chcon поставьте на нее контекст как у nginx, запустите (убедитесь через ps -Z, что в нужном контексте) и оттуда уже делайте ваш эксперимент. Если вообще дадут запустить.<br><br>&gt; зы. "selinux с targeted-политикой" следит и за пользовательскими процессами, by ex:<br><br>*фейспалм*<br><br>$ ls -lZ /usr/lib64/ Root-уязвимость из-за некорректных настроек в пакете nginx д... (fi) https://opennet.me/openforum/vsluhforumID3/109680.html#66 Tue, 22 Nov 2016 22:14:11 GMT &gt; Если процесс nginx в тесте не фигурирует, selinux с targeted-политикой не вмешивается в процесс вообще никак. <br><br>а какой процесс по вашему фигурирует тут?<br><br>&gt; [root@Falcon nginx]# kill -USR1 734<br><br>Прямо детский сад. <br><br>зы. "selinux с targeted-политикой" следит и за пользовательскими процессами, by ex:<br><br>&gt; SELinux is preventing /usr/lib64/firefox/plugin-container from sendto access on the unix_dgram_socket @nvidia9dc15530. Root-уязвимость из-за некорректных настроек в пакете nginx д... (XoRe) https://opennet.me/openforum/vsluhforumID3/109680.html#65 Mon, 21 Nov 2016 17:31:14 GMT &gt; В-третьих, syslog совершенно не устраивает многих админов в хайлоаде, например Сысоева. <br>&gt; Сам нагуглить осилишь, почему он столько времени не хотел добавлять поддержку <br>&gt; syslog в nginx?<br><br>Syslog - это понятие, обобщающее клиента, протокол и сервер.<br>Насколько я понял, Сысоева не устраивал протокол syslog из за возможной потери пакетов и загрузка syslog сервера (syslogd): http://www.lexa.ru/nginx-ru/msg17262.html<br>&gt; Я тут имел несчастье наблюдать 130 сообщений в секунду через syslogd.<br>&gt; Машинка, конечно, не первой мододости, 2x P3-700, но отжирать при этом 12%<br>&gt; процессора только на чтение и запись сообщения - это слишком.<br><br>Ну, во первых, с тех пор компьютеры стали чуть мощнее.<br>Во вторых syslogd - не тот инструмент, которым надо ловить логи веб сервера.<br>Тогда хотя бы можно было использовать syslog-ng.<br>А сейчас для этого есть отличные связки вида Logstash+ElasticSearch+Kibana, или Statsd+Graphite, которые отлично обрабатывают 10k rps.<br>Ну и на хайлоаде потеря пары пакетов не страшна, когда у тебя на