Certi servitori cù nginx restanu vulnerabili à a tecnica Nginx Alias Traversal, chì hè stata pruposta in a cunferenza Blackhat in 2018 è permette l'accessu à i fugliali è i cartulari situati fora di u repertoriu radicale specificatu in a direttiva "alias". U prublema si prisenta solu in cunfigurazioni cù una direttiva "alias" pusata in u bloccu "locu", u paràmetru di quale ùn finisci micca cù un caratteru "/", mentri "alias" finisce cù "/".
L'essenza di u prublema hè chì i schedarii per i blocchi cù a direttiva di l'alias sò dati attachendu u percorsu dumandatu, dopu avè accumpagnatu cù a maschera da a direttiva di locu è tagliate a parte di u percorsu specificatu in questa maschera. Per l'esempiu di una cunfigurazione vulnerabile mostrata sopra, un attaccu pò dumandà u schedariu "/img../test.txt" è sta dumanda currisponde à a maschera specificata in u locu "/img", dopu chì a coda restante "../test.txt" serà attaccata à u percorsu da a direttiva alias "/var/images/" è in u risultatu u schedariu "/var/images/./test.txt" serà dumandatu. Cusì, l'attaccanti ponu accede à qualsiasi schedari in u cartulare "/var", è micca solu i schedari in "/var/images/", per esempiu, per scaricà u log nginx, pudete mandà a dumanda "/img../log/nginx/access.log".
In cunfigurazioni induve u valore di a direttiva di l'alias ùn finisce micca cù un caratteru "/" (per esempiu, "alias /var/images;"), l'attaccante ùn pò micca andà à u repertoriu parent, ma pò dumandà un altru repertoriu in /var chì u nome principia cù quellu specificatu in a cunfigurazione. Per esempiu, dumandendu "/img.old/test.txt" pudete accede à u cartulare "var/images.old/test.txt".
Un analisi di i repositori in GitHub hà dimustratu chì l'errori in a cunfigurazione nginx chì portanu à u prublema sò sempre truvati in prughjetti reali. Per esempiu, a presenza di un prublema hè stata rilevata in u backend di u gestore di password Bitwarden è puderia esse aduprata per accede à tutti i fugliali in u repertoriu /etc/bitwarden (e dumande per /attachments sò state emesse da /etc/bitwarden/attachments/), cumpresa a basa di dati cullucata quì cù password "vault.db", un certificatu è logs, per quale era abbastanza per mandà richieste "vault.db./attachments". x", "/atta chments../logs/api.log" etc.
U metudu hà travagliatu ancu cù u Google HPC Toolkit, induve e richieste / static sò stati rediretti à u repertoriu "../hpc-toolkit/community/front-end/website/static/". Per ottene una basa di dati cù una chjave privata è credenziali, un attaccante puderia mandà dumande "/static../.secret_key" è "/static../db.sqlite3".
Source: opennet.ru