The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуски nginx 1.21.0 и 1.20.1 с устранением уязвимости

25.05.2021 22:47

Представлен первый выпуск новой основной ветки nginx 1.21.0, в рамках которой будет продолжено развитие новых возможностей. Одновременно подготовлен корректирующий выпуск параллельно поддерживаемой стабильной ветки 1.20.1, в которой вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.21.x будет сформирована стабильная ветка 1.22.

В новых версиях устранена уязвимость (CVE-2021-23017) в коде для разрешения имён хостов в DNS, которая может привести к краху или потенциально к выполнению кода атакующего. Проблема проявляется при обработке определённых ответов DNS-сервера, приводящих к однобайтовому переполнению буфера. Уязвимость проявляется только при включении в настройках DNS-резолвера при помощи директивы "resolver". Для совершения атаки злоумышленник должен иметь возможность подделать UDP-пакеты от DNS-сервера или получить контроль над DNS-сервером. Уязвимость проявляется начиная с выпуска nginx 0.6.18. Для устранения проблемы в старых выпусках можно использовать патч.

Изменения в nginx 1.21.0, не связанные с безопасностью:

  • В директивах "proxy_ssl_certificate", "proxy_ssl_certificate_key" "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" и "uwsgi_ssl_certificate_key" добавлена поддержка переменных.
  • В почтовый прокси-модуль добавлена поддержка "pipelining" для передачи нескольких запросов POP3 или IMAP в одном соединении, а также добавлена новая директива "max_errors", определяющая максимальное число ошибок протокола, после которых соединение будет закрыто.
  • В модуль stream добавлен параметр "fastopen", включающий режим "TCP Fast Open" для слушающих сокетов.
  • Решены проблемы с экранированием спецсимволов при автоматическом редиректе с добавлением в конец слэша.
  • Решена проблема с закрытием соединений с клиентами при использовании SMTP pipelining.


  1. Главная ссылка к новости (https://www.nginx.com/blog/upd...)
  2. OpenNews: Релиз nginx 1.20.0
  3. OpenNews: Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости
  4. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  5. OpenNews: Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей
  6. OpenNews: Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55208-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:54, 25/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Зачем потом устранят уязвимости, если можно сразу писать код без них? На той же Аде, например.
     
     
  • 2.2, Аноним (2), 23:10, 25/05/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В начале 2000-ых фанатели от C
     
     
  • 3.8, Аноним (8), 06:27, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и правильно делали
     
     
  • 4.16, Аноним (2), 09:12, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, а сейчас пожинаем плоды в виде кучи уязвимостей и прочих heartbleed
     
     
  • 5.25, BorichL (?), 14:02, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По недавно вскрывшимся фактам выяснилось ещё одно доказательство, что не инструмент виноват, а тот, кто не научился его использовать.
     
     
  • 6.27, Michael Shigorin (ok), 16:03, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Думаете сломать ему слепую веру в серебряные пули?..
     
     
  • 7.28, BorichL (?), 16:08, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаете сломать ему слепую веру в серебряные пули?..
     
  • 7.29, BorichL (?), 16:09, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Думаете сломать ему слепую веру в серебряные пули?..

    Не, хочу вбить в него осиновый кол!

     
  • 2.4, НяшМяш (ok), 00:09, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Почему ты упустил такую возможность создать свой аналог на Аде?
     
  • 2.6, gogo (?), 01:53, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На Бейсике тоже можно. Если GOTO не использовать.
     
     
  • 3.19, Аноним (-), 10:28, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    GOTO есть даже в C. А не использовать его нельзя. Это как jmp в ассемблере. Просто кому то не понравилось, вот он и сказал что использование GOTO дурной стиль програмирования.
     
  • 2.10, Корец (?), 07:47, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >На той же Аде, например.

    Да хоть на расте, но это не поможет - не имеет значения, на каком языке написана сишная дырень.

     
     
  • 3.17, Аноним (2), 09:13, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На Расте хотя бы сишные дырени могут быть только при взаимодействием с си, что можно максимально минимизировать
     
     
  • 4.24, Онаним (?), 14:02, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты уже переписал нгинх на хрусте?
    Нет?
    Перепишешь - приходи, расскажешь как там с дыренями.
     

  • 1.3, Онаним (?), 23:17, 25/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    - Vulnerable: 0.6.18-1.20.0
    Это точно была уязвимость?
     
     
  • 2.5, Аноним (5), 00:46, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Судя по коду патча, да.

    Но найти в дикой природе возможность эксплуатировать уязвимость будет крайне непросто. Для типичной конфигурации resolver не нужен. Если resolver и включен, то обычно указывает во внутреннюю сеть. А если даже кому-то пришло в голову использовать nginx как обычный (не реверсный) прокси-сервер, это ещё надо догадаться, откуда он там резолвит, и найти способ подменить трафик. В целом, взломать таким образом можно только инфраструктуру предприятия изнутри - скажем, имея доступ ко внутренней сети, зная, какая там конфигурация, но не имея непосредственного доступа к серверу.

    Потому никто и не замечал.

     
     
  • 3.11, Онаним (?), 08:00, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Больше похоже на талантливо припрятанный бэкдор.
     
     
  • 4.22, Аноним (22), 11:50, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сделать бэкдор, выглядящий как естественным образом написанный код, и при том прятать бэкдор в функциональности, которой почти никто не пользуется, и для эксплуатации которой надо вмешиваться в трафик? Притом что есть парсер http, в котором куча хардкорных оптимизаций, затрудняющих чтение кода, и который доступен для эксплуатации простой отправкой запроса?

    В такое сочетание гениальности и идиотизма сложно поверить.

     
     
  • 5.23, Онаним (?), 14:00, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно всё в рамках конспирологии )
    Парсер HTTP - это первое, что будут высматривать вдоль и поперёк все аналитики от ИБ.
    А вот в резолвер, который "почти не используется", заглянут уже не все.
    Кроме того место удобное - он используется в частности теми, кто знает про OCSP, потенциально приоритет таких целей как раз выше.
     
     
  • 6.42, Аноним (42), 20:15, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, знать про OCSP, и при этом не поднять внутренний резолвер - это из разряда экспертов с опеннета, кому они нужны их ломать :)
     
     
  • 7.43, Онаним (?), 09:11, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну, знать про OCSP, и при этом не поднять внутренний резолвер

    Адепты кубернетесов с докерочками умудряются целые СУБД голым задом в сеть выставить, а вы от них внутреннего резолвера ждёте. На амазончик свой CI/CD как кот накатили, 8.8.8.8 работает, ПРЭКРАСНО!

     

  • 1.7, Ilya Indigo (ok), 05:34, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;

    Резолвер в nginx нужен для ssl_stapling, иначе в логах куча ошибок.
    Только я сомневаюсь что кто-то перехватит трафик от клодфлеера или гугла, кроме их самих.

     
     
  • 2.15, Онаним (?), 09:03, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Вы слишком доверяете своему ISP.
    Особенно если вы в скрепной живёте, где на пути трафика уже стоят железки для анализа и модификации такового априори.
     
     
  • 3.21, Аноним (21), 10:51, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Блокировка по DNS - детский сад. Единственное, что там стоит проверять - не используют ли твоих клиентов в для DNS reflection. Поэтому имеет смысл заворачивать к себе все, что идет НЕ на well-known резолверы.
     
  • 3.30, нах.. (?), 16:25, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    пока что в наличии таких железок признался горе-оператор в деревне где-то в неближнем запоребрике.

    А в скрепной, увы, нет таких железок. И все попытки порулить оканчиваются фейлом. Не деревенские, понимаешь, масштабы то...

     
     
  • 4.35, Онаним (?), 23:26, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В скрепной если не скат, то редуктор или аналогичная хрень.
    Которая вполне себе и слушает, и вмешивается.
    Причём у каждого. Потому что позор и ревизор.
     
     
  • 5.36, Аноним (21), 00:07, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Которая вполне себе и слушает, и вмешивается.

    Только DNS здесь не при чем.

     
     
  • 6.37, Онаним (?), 07:47, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно при чём - режимы прослушивания DNS и модификации DNS-ответов вполне себе есть.
     
     
  • 7.41, Аноним (21), 15:13, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только нафига? Выполнению нормативных актов они никак не способствуют.
     
  • 5.38, нах.. (?), 11:04, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > В скрепной если не скат, то редуктор или аналогичная хрень.

    ну да, тебе иззапоребрика-то виднее.

    > Которая вполне себе и слушает, и вмешивается.
    > Причём у каждого.

    ни разу. У каждого - только железки СОРМ, которые нужны для лицензии. Ни слушать, сами по себе, ни тем более вмешиваться неспособны. Хорошо если хотя бы вообще работают как должны, а не как на от-сь сделано.

    А экскременты ростелекома каждый раз заканчиваются эпикфейлом, а DC у лягушатников горят недостаточно часто чтобы всегда была на готове отмазка "это не мы" и "ихтамнет".

     
     
  • 6.39, Онаним (?), 13:41, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так было, пока "ревизор" не появился.
    Сейчас реально у каждого. Ну или у апстрима, что едино.
     
     
  • 7.40, нах.. (?), 14:45, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так было, пока "ревизор" не появился.

    Ревизор не перехватывает траффик. Он косплеит пользовательское подключение. Причем на уровне "мамой клянус - пользовательское". (А на деле у этого куска г-на из переделанного длинка единственный вариант - ethernet. Как бы я мамой не клялся, нету у меня для него гармошки.)
    И даже при этом - ничем не отличается от живого пользователя из Калининграда, накатавшего на  нас жалобу что мы плохо защищаем его от интернета.

     
     
  • 8.44, Онаним (?), 09:13, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да суть не в этом Пока этого овна не было - косплеили наличие фильтров Когда н... текст свёрнут, показать
     
     
  • 9.45, нах.. (?), 10:31, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сейчас кал-ининградцкий юзер еще и на тебя жалобу в роспозор подаст, что ты его ... текст свёрнут, показать
     
     
  • 10.47, Онаним (?), 13:54, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В славном городе поребриков например нет ни одного мало-мальски крупного операто... текст свёрнут, показать
     
  • 2.18, Аноним (18), 10:22, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >resolver 1.1.1.1 8.8.8.8

    Популярнее этих адресов надо ещё найти. Думаю данные адреса когда надо куда надо заворачивают при первой необходимости.

     
     
  • 3.46, твой провайдер (?), 11:34, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не ссы, мы их оба подняли у себя на своем dns. Поэтому у других васянов прислать тебе поддельный ответ не получится, мы его, разумеется, еще на бордере дропнем как явно непрошенный.

    P.S. мы действительно так делали, лет десять тому, до всеобщего щастья с dohлым номером.
    Но присылать тебе поддельные пакеты не входило в наши задачи. Мы вообще-то на деньги пользователей живем, и стараемся за эти деньги делать для них, а не от них.

     

  • 1.9, Аноним (9), 07:45, 26/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     

     ....ответы скрыты (2)

  • 1.49, Какаянахренразница (ok), 17:19, 23/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачастили как-то релизы nginx-а...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру