Pages

Friday, June 8, 2012

Vulnerability in Nginx Eliminated


Vladimir Kochetkov, a Positive Research expert, has detected severe vulnerability in Nginx under Windows.

When it comes to Windows platforms, there are many ways of gaining access to one and the same file, some of which were not considered by nginx developers. Nginx versions for Windows (from 0.7.52 to 1.2.0 and 1.3.0 included) proved vulnerable to bypassing security restrictions. The vulnerability enabled an attacker to redirect HTTP requests to certain URL bypassing the rules set in the location directives of the web server configuration.

Exploiting the security flaw in nginx, a potential hacker could have gained access to the source code of a web application and to closed sections of a web site or could have stolen passwords to databases and other services. The system does not consider that NTFS allows users to address folders with extended syntax attribute, while matching the requested resource URL with locations defined in web server configuration. This allows attackers to bypass access restrictions set for static resources.

Aboutnginx: it is a HTTP server and reverse proxy, as well as a mail proxy, created by Igor Sysoyev. The total number of sites that use nginx is over 70 million. 12,49% of active sites are built on it. Besides, nginx is the most popular server in the .ru zone: it is employed by over 50% of Russian resources including the most famous and highly loaded projects, such as Yandex, Rambler, Mail.Ru, and VKontakte.

For the first time, the vulnerability was described by Vladimir Kochetkov in his presentation at the PHDays forum, Moscow, 2012

8 comments:

  1. This comment has been removed by a blog administrator.

    ReplyDelete
    Replies
    1. dongtam
      mu private
      tim phong tro
      http://nhatroso.com/
      nhac san cuc manh
      tổng đài tư vấn luật
      http://dichvu.tuvanphapluattructuyen.com/
      văn phòng luật
      tổng đài tư vấn luật
      dịch vụ thành lập công ty
      http://we-cooking.com/
      chém gió
      trung tâm ngoại ngữthể liền có lòng cướp đoạt, bọn chúng trong lòng cũng rất rõ ràng, nếu là có thể cướp được này là thân thể, bọn chúng có thể một lần nữa đi ra khỏi Long mộ nầy.

      "Đáng chết, những linh hồn thể đúng là muốn cướp thân thể ." Nhạc Thành sắc mặt ngưng trọng lên, nếu lúc bình thường, đối với chút ít linh hồn thể Nhạc Thành không để trong mắt, nhưng là bây giờ hắn hết sức chăm chú luyện chế thân thể, không thể Phân thần đối phó cái đó linh hồn thể kia, nếu không sẽ làm hỏng thân thể đang luyện chế.

      "Nhạc Thành, ngươi khỏi cần Phân thần, hết thảy giao cho ta là được, ở trước mặt ngươi, lão tổ ta cũng không thể đánh mất uy phong." Đúng lúc Nhạc Thành sắc mặt ngưng trọng thanh âm Nhạc Thiên lão tổ truyền vào trong tai hắn.

      "Ha ha, ta Nhạc Thiên sinh cũng làm nhân Kiệt, chết cũng hi sinh oanh liệt, đến đây đi." Một đường tiếng cười to trong miệng Nhạc Thiên lão tổ mà, lập tức một đạo ảo ảnh chuyển qua, Nhạc Thiên lão tổ thả người từ trên xuống, thân thể suy yếu lúc này lại lộ khí phách ra ngoài.

      Delete

  2. Thanks for sharing this Post, Keep Updating such topics.
    hatenablog
    really-good-idea
    ecommerce

    ReplyDelete

  3. Great topics share through this post and really this is very nice post so many thanks to all
    simple bookkeeping Application
    best small business accounting Application

    ReplyDelete

  4. Great topics share through this post and really this is very nice post so many thanks to all
    Commodity market NEWS

    ReplyDelete