信息來源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心
近期,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Nginx存在權(quán)限提升漏洞(CNVD-2016-10448,對(duì)應(yīng)CVE-2016-1247)。綜合利用該漏洞,本地及遠(yuǎn)程攻擊者可利用該漏洞獲取root權(quán)限。該產(chǎn)品廣泛應(yīng)用于構(gòu)建網(wǎng)站服務(wù)器,由于漏洞驗(yàn)證信息已經(jīng)公開,該漏洞可能誘發(fā)以控制為目的大規(guī)模攻擊。CNCERT第一時(shí)間對(duì)上述漏洞的相關(guān)情況進(jìn)行了解和分析,具體通報(bào)如下:
一、漏洞情況分析
Nginx是俄羅斯軟件開發(fā)者Igor Sysoev所研發(fā)的一款HTTP和反向代理服務(wù)器,也可以作為郵件代理服務(wù)器,被廣泛應(yīng)用于網(wǎng)站服務(wù)器搭建。Ubuntu官方發(fā)布的安全公告稱,Nginx程序在日志文件處理權(quán)限錯(cuò)誤,遠(yuǎn)程攻擊者利用該漏洞可獲取系統(tǒng)ROOT權(quán)限。Debian官方公告稱,由于Debian 系統(tǒng)上的Nginx服務(wù)器包處理日志文件的方式,本地攻擊者利用漏洞可訪問/var/log/nginx目錄,讀取日志文件。
CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“高危”。
二、漏洞影響范圍
該漏洞影響基于Debian操作系統(tǒng)的Nginx 1.6.2-5+deb8u3之前的版本、基于Ubuntu16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3之前版本、基于Ubuntu 14.04 LTS操作系統(tǒng)的1.4.6-1ubuntu3.6之前版本和基于Ubuntu 16.10操作系統(tǒng)的1.10.1-0ubuntu1.1之前版本。應(yīng)用Nginx搭建的其他web服務(wù)器也可能存在同類安全風(fēng)險(xiǎn)。
根據(jù)CNVD秘書處普查情況,受到漏洞影響的運(yùn)行于Debian操作系統(tǒng)平臺(tái)的Nginx服務(wù)器達(dá)到118萬,而受影響的Ubuntu平臺(tái)Nginx服務(wù)器更多,達(dá)到676萬。整體看,受影響較大的排名前五名的國(guó)家和地區(qū)分別是美國(guó)(占比52.4%)、德國(guó)(7.1%)、中國(guó)(6.3%)、英國(guó)(6.8%)、法國(guó)(4.4%)。
三、漏洞修復(fù)建議
目前,多個(gè)系統(tǒng)廠商已發(fā)布了漏洞修復(fù)方案,用戶可將程序分別升級(jí)至基于Debian操作系統(tǒng)的Nginx 1.6.2-5+deb8u3版本、基于Ubuntu16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3版本、基于Ubuntu 14.04 LTS操作系統(tǒng)的1.4.6-1ubuntu3.6版本、基于Ubuntu 16.10操作系統(tǒng)的1.10.1-0ubuntu1.1版本。CNCERT建議用戶關(guān)注廠商主頁(yè),升級(jí)到最新版本,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
CNCERT 將繼續(xù)跟蹤事件后續(xù)情況。同時(shí),請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援,請(qǐng)聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。