DFN-CERT-2013-1953 nginx: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE][Unix][OpenBSD][Windows]

DFN-CERT-2013-1953 nginx: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE][Unix][OpenBSD][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

nginx <= 1.5.6 Debian Linux <= 7.2 Wheezy openSUSE <= 12.3 openSUSE <= 13.1 OpenBSD <= 5.3 OpenBSD <= 5.4 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux OpenBSD RedHat SuSE UNIX Windows Eine Schwachstelle in nginx ermöglicht einem entfernten, nicht authentifizierten Angreifer durch nicht maskierte Leerzeichen sensible Informationen auszulesen. Workaround: Als Workaround wird zur Zeit empfohlen in jeden server{} block die folgende Anweisung einzufügen: if ($request_uri ~ " ") { return 444; } Patch: openSUSE Security Update openSUSE-SU-2013:1745-1 http://lists.opensuse.org/opensuse-updates/2013-11/msg00084.html

Patch:

Herstller Advisory FEDORA-2013-22026

https://admin.fedoraproject.org/updates/FEDORA-2013-22026/nginx-1.4.4-1.fc20

Patch:

Hersteller Advisory FEDORA-2013-21826

https://admin.fedoraproject.org/updates/FEDORA-2013-21826/nginx-1.4.4-1.fc19

Patch:

Debian Security Advisory DSA-2802-1

http://www.debian.org/security/2013/dsa-2802

Patch:

Hersteller Advisory OpenBSD 5.3

http://openbsd.org/errata53.html

Patch:

Hersteller Advisory OpenBSD 5.4

http://openbsd.org/errata54.html

CVE-2013-4547: Schwachstelle in nginx

Eine Schwachstelle im HTTP Parser von nginx behandelt nicht maskierte
Leerzeichen nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer
kann durch Ausnutzen dieser Schwachstelle die Sicherheitseinstellungen für
Verzeichnisse umgehen und unberechtigt Dateien lesen. Die Dateien müssen
Leerzeichen im Pfad oder im Dateinamen enthalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1953/

Schwachstelle CVE-2013-4547 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4547

Schwachstelle CVE-2013-4547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4547

Hersteller Advisory CVE-2013-4547 (nginx):
http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.html

openSUSE Security Update openSUSE-SU-2013:1745-1:
http://lists.opensuse.org/opensuse-updates/2013-11/msg00084.html

Herstller Advisory FEDORA-2013-22026:
https://admin.fedoraproject.org/updates/FEDORA-2013-22026/nginx-1.4.4-1.fc20

Hersteller Advisory FEDORA-2013-21826:
https://admin.fedoraproject.org/updates/FEDORA-2013-21826/nginx-1.4.4-1.fc19

Debian Security Advisory DSA-2802-1:
http://www.debian.org/security/2013/dsa-2802

Hersteller Advisory OpenBSD 5.3:
http://openbsd.org/errata53.html

Hersteller Advisory OpenBSD 5.4:
http://openbsd.org/errata54.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben