Nonnulli servientes cum nginx vulnerabiles ad Nginx Alias ββTraversal technicae manent, quae in colloquio Blackhat anno 2018 remissae propositae sunt et accessum permittit ad lima et directoria locata extra directorium radicis determinatum in "alias" directivum. Quaestio tantum apparet in configurationibus cum "alias" directivas intra "locum" positam, cuius modulus cum charactere "/" non terminatur, dum "alias" cum "/" desinit.
Essentia quaestionis est quod lima stipitibus cum alias directivis dantur adiungendo semitam petitam, adaptans eam cum persona ex situ directivo et exscindendo partem semitae in hac persona specificata. Ad exemplum configurationis vulnerabilis supra demonstratum, oppugnans tabellam "/img../test.txt" petere potest, et haec petitio congruit larva in locatione "/img", post quam reliqua cauda "../ test.txt" iter adiungetur ex alias directivis "/var/images/" et inde tabella "/var/images/../test.txt" rogabitur. Sic oppugnatores adire possunt aliquas tabulas in "/var" directorium, et non solum lima in "/var/images/", exempli gratia, ad nginx stipes depone, petitionem "/img../log/ mittere potes. nginx/ access.log".
In configurationibus in quibus valor directivae alias "/" characterem non terminat (exempli gratia "alias /var/images;"), oppugnator mutare non potest ad directorium parentis, sed petere potest alium directorium in /var. cuius nomen in schemate denotatum incipit. Exempli gratia, "/img.old/test.txt" postulans potes accedere indicem "var/images.old/test.txt".
Analysis repositoriorum in GitHub ostendit errores in nginx configurationis, qui ad problema ducunt, adhuc in inceptis realibus inveniri. Exempli causa, praesentia problematis in backend tesserae Bitwarden procuratoris deprehensa est, et ad omnes tabellas in directorio /etc/bitwardi accessus adhiberi potuit (petitiones pro attachiationibus ab /etc/bitwarden/attachiis editae sunt) inclusis datorum ibi conditum cum passwords "fornice. db", certificatorium et tigna, quibus satis erat petitiones "/attachments../vault.db", "/attachments../identity.pfx", "/attachiamenta mittere. ../logs/api.log", etc. .P.
Methodus etiam cum Google HPC Toolkit laboravit, ubi /staticae petitiones ad "../hpc-toolkit/community/front-end/website/static/" directae sunt. Ad database obtinendum cum clavis privatis et documentis, oppugnator "/static../.secret_key" et "/static../db.sqlite3" mittere potuit.
Source: opennet.ru