Ну типо решето, да? )

НЕТ!

А что тут критического. Ну, вместо ошибки о якобы висящем бекэнде появится ошибка самого нжинкса. Большинство посетителей не заметят никакой разницы.

А прав у владельца процесса все равно немного.

Ну зная сколько народу держат nginx под рутом и сколько из них плевали на всякие обновления...я предвижу апокалипсис

ДА

>> Уже выпущены обновления безопасности для Debian и Fedora. Для других дистрибутивов сообщений об обновлениях пока не поступало.

В арче тоже уже 0.7.62

Вендекапец, не иначе! :)

> Ну зная сколько народу держат nginx под рутом и сколько из них плевали на всякие обновления...я предвижу апокалипсис

Ну тем, кто под рутом держит, скатерьтью дорога к апокалипсису. Критическая уязвимость от того, что можно уронить сам процесс nginx, а это намного хуже.

Это можно было ожидать, чем популярней сервер тем больше людей ищут уязвимости.

вконтакте на нем вертится. как бы намек ^_~

Для дебиана обновление ещё вчера вышло.

> Ну тем, кто под рутом держит, скатерьтью дорога к апокалипсису.

Как ты не рутом откроешь 80-й порт? :)

люблю дебиан :)

на все (обновление nginx на всех серверах) про все ушло 12 минут, включая чтение новости и пересборку пакета :)

ололо. Точно так же как открываю 25 и 21, а что?

> А что тут критического.

есть мнение что была раскрыта не вся информация об уязвимости.

> Ну зная сколько народу держат nginx под рутом

Уязвимы только рабочие процессы НЕ работают из-под рута. Тот рутовый процесс нужен исключительно чтобы порт забиндить да системные лимиты поменять.

> Как ты не рутом откроешь 80-й порт? :)

Для этого придумано делать setuid после bind.

Что можно поставить на замену?

> Как ты не рутом откроешь 80-й порт? :)

а ПОСЛЕ этого тебе религия не позволяет сменить права процессу

> есть мнение что была раскрыта не вся информация об уязвимости.

Посмотри на патч, он достаточно тривиален, чтобы понять как можно использовать уязвимость. Он не оставляет места для "не всей информации".

Это я часто слышу. А вот когда порошу рассказать как можно код выполнить все сразу молчат. И по этом патчу что-либо говорить всё равно что гадать на кофейной гуще ибо это только малая часть кода который работает в обработке запроса.

Может ты расскажешь как запустить шелл-код? :)

nginx/0.6.32, вестимо

> Для этого придумано делать setuid после bind.

Оно так и сделано. Но master процесс то всё равно от рута работает :)

> ололо. Точно так же как открываю 25 и 21, а что?

Нука, открой от пользователя процесс, слушающий 21 или 25 порт? :)

> а ПОСЛЕ этого тебе религия не позволяет сменить права процессу

Мне религия это позволяет, кроме того, у меня везде так и сделано, т.к. nginx это делает сам. Читай выше про master процесс :)

>> Как ты не рутом откроешь 80-й порт? :)

> Для этого придумано делать setuid после bind.

О! Дедушки подтянулись. Вылезайте из анабиоза, linux и freebsd давным давно поддерживают acl для сокетов.

Толпы скрипткиддисов мажут письки вазелином и ждут публичного эксплоита.

>Оно так и сделано. Но master процесс то всё равно от рута работает :)

мастер не занимается обслуживанием соединений с клиентами.

Я в курсе. Вопрос был про открытие 80-го порта.

> Нука, открой от пользователя процесс, слушающий 21 или 25 порт? :)

Марш в гугл по запросу freebsd linux acl socket -samba А можно ещё статью прочитать http://www.ibm.com/developerworks/linux/library/l-selinux/

Особенно Listing 1. Kernel code for socket creation и Listing 3. The SELinux socket-creation check =)

кажется первая уязвимость в nginx ? до этого он не светился в бюллетенях по безопасности ?)

> Как ты не рутом откроешь 80-й порт? :)

Выставляем CAP_NET_BIND_SERVICE и все. Можно сторонним процессом, который запустится, сделает это на ждущем демоне сервера и выйдет.

man 7 capabilities

этот подход не сильно отличается от того что запускается контрольный процесс,
который запускает workers с нужными caps, кроме того если worker все-таки упадет,
то мастер его перезапустит, в отличие от стороннего процесса, которому все равно и он вообще уже вышел.

Нуу, по чейнжлогу у него много сегфолтов было. Поэтому, подозреваю, проблемы были и раньше, просто их никто не акцентировал.

>пересборку пакета
У вас тоже нестандартные опции сборки? :)

>включая чтение новости
КАК? Вы не подписаны на debian-security-announce?

>на все (обновление nginx на всех серверах) про все ушло 12 минут
У нас немного больше, т.к. пересобранные пакеты перед помещением в основной локальный репозитарий тестируются.

>люблю дебиан :)
центос в общем-то не хуже ;)

>Ну зная сколько народу держат nginx под рутом и сколько из них плевали на всякие обновления...я предвижу апокалипсис

На самом деле его даже под рутом держать не надо — достаточно, чтобы «админ» плевал на обновления. Не так давно несколько рутовых сплойтов к ядру проскакивало :)

чем популярнее будет веб-сервер, тем чаще в нем будут находить ошибки. Так что не расстраиваемся и качаем апдейты.

>центос в общем-то не хуже ;)

На него, кстати, апдейты ещё не прибежали...

>На него, кстати, апдейты ещё не прибежали...
Кому действительно было надо — бы еще вчера из SRPM с патчем пересобрали.

А вообще зная редхат, я не удивлюсь, что из-за хитрозадых опций сборки их бинарники этой уязвимости не подвержены ;)

> Кому действительно было надо — бы еще вчера из SRPM с патчем пересобрали.

Уж лучше тогда генту если приходится самому думать о безопасности :)

Обновляюсь.

:)

> Критическая - то когда выносит весь датацентр к чертям с дымом, спецэффектами, суетящимися спасателями и рыдающими детьми, у которых накрылся варезный портал с десятками тысяч линков на вожделенную порнуху, на заднем плане.

> А тут имеет место быть лоу-приорити баг, который к тому же моментально пофиксили, что в очередной раз доказывает тезис о лучшем качестве свободного ПО и куда лучшей поддержке, в сравнении с проприетарным дерьмом.
> Gharik # (*) (04.03.2007 3:32:37)

Уязвимость в рабочем процессе nginx, а не в master. Вопрос: при чём тут открытие порта?

тоже еще вчера обновился

И эти все операции можно сделать, не прибегая к помощи root'а? :)

Ну, как мне представляется, все эти капабилити нужно грантануть из-под рута. Зато потом никто не мешает даже мастеру setuid сделать.

>Уязвимость в рабочем процессе nginx, а не в master. Вопрос: при чём тут открытие порта?

Следующая будет в мастере, я гарантирую это! ;)

>И эти все операции можно сделать, не прибегая к помощи root'а? :)

Ну ты еще начни с того, что без помощи рута не смонтировать корневую фс и не загрузить систему...

А что там насчет бонета из инфицированных веб-серверов под Линуксом, нашли причину подобного и способ как это сделали? Кстати на лоре в новостях не нашел про это, а на опеннете дискуссия...

http://www.opennet.ru/opennews/art.shtml?num=23387

> И эти все операции можно сделать, не прибегая к помощи root'а? :)

Ты что притворяешься? Ты еще спроси как это можно сделать не включая компьютер. Настраиваешь тот же selinux пользователем у которого есть достаточно прав что бы его настроить (скорее всего это будет root) =) И запускаешь приложение под пользователем который подпадает под эти самые настройки selinux.

> я гарантирую это! ;)

O_O Игорь, перелогинтесь.