Nginx 和 OpenResty 内存泄漏和目录穿越漏洞的安全评估
2020 年 3 月 18 号,hackerone 披露了两枚关于 Nginx 和 OpenResty 的漏洞,分别涉及到内存泄漏和目录穿越,详细的内容大家可以参考 hackerone (https://hackerone.com/reports/513236) 的分析,我这里补充说明下:
1. Nginx 的 rewrite 指令在没有检查用户输入的情况下,会导致目录穿越,危险等级:高危
2. Nginx 的 rewrite 指令在没有检查用户输入的情况下,会导致内存泄漏,危险等级:低危
3. OpenResty 的 rewrite 指令,以及 ngx.req.set_uri 没有检测非法输入值,会导致内存泄漏和目录穿越,危险等级:高危
其中,第二个低危的漏洞,Nginx 已经在 1.17.7 的版本中修复,用户更新到最新版本即可解决。而且这个漏洞在 Nginx 这种静态配置文件驱动的 web 服务器上很难被利用,除非是用户自己配置了非法字符。
但是,1 和 3 这两个高危的漏洞在报告给 Nginx 和 OpenResty 之后的三、四个月的时间内,一直没有被修复。以下是漏洞披露时间线:
在得知这个安全风险的第一时间,Apache APISIX 的 PPMC 团队就立即针对 Apache APISIX 的风险做了评估,结论是:低危,用户不用做任何处理。原因如下:
Apache APISIX 是纯动态来改写用户请求的,并没有使用 Nginx 的 rewrite 指令;
ngx.req.set_uri 只在 grpc 转码插件中使用了一次,而且是管理员的输入。
但对于正在使用 Nginx 和 OpenResty 的用户而言,在官方修复并发布新版本之前,也可以使用如下方法来处理:
检测 Nginx 配置文件中的 rewrite 指令,要对用户的输入值做检测,不能无条件转发;
检查 Nginx 的用户权限,不能是管理员权限;
对于用户的输入,做非法值过滤后,才能调用 ngx.req.set_uri 和 ngx.req.set_header。
如果有技术实力,可以自行修复,不用等官方 patch。
最后是广告时间,支流科技提供 Apache APISIX 的商业版本和技术支持,上面这些闹心的事儿都可以交给我们处理,可以直接联系我: