Nginx behebt Sicherheitslücke wegen Leerzeichen in der URL
Kommentare

Nicht-escapete Leerzeichen in URLs können in einigen Nginx-Konfigurationen dafür sorgen, dass Sicherheitsbestimmungen auf dem Server umgangen werden und auf Verzeichnisse zugegriffen oder Code ausgeführt

Nicht-escapete Leerzeichen in URLs können in einigen Nginx-Konfigurationen dafür sorgen, dass Sicherheitsbestimmungen auf dem Server umgangen werden und auf Verzeichnisse zugegriffen oder Code ausgeführt wird. Betroffen sind sämtliche Nginx-Versionen zwischen 0.8.41 und 1.5.6. Gepatcht wird es lediglich in Nginx 1.5.7 sowie 1.4.4.

Die so genannte Request Line Parsing Vulnerability (CVE-2013-4547) geht zurück auf eine Entdeckung des Google-Mitarbeiters Ivan Fratric, wie es in der aktuellen Meldung auf nginx.org heißt. Ihr Autor Maxim Dounin, erklärt weiter, dass ein Patch oder ein Workaround das Problem vorübergehend lösen können, falls Ihr das Update nicht sofort installieren könnt. Für das Workaround soll man in jedem server{}-Block der Konfiguration folgende Zeilen hinzufügen:

if ($request_uri ~ " ") {         return 444;     } 

Aufmacherbild: hole in a paper von Shutterstock / Urheberrecht: Igor Kovalchuk

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -