E puer Server mat nginx bleiwen vulnérabel fir d'Nginx Alias Traversal Technik, déi op der Blackhat Konferenz am Joer 2018 proposéiert gouf an erlaabt Zougang zu Dateien an Verzeichnisser, déi ausserhalb vum Root Verzeichnis an der "Alias" Direktiv spezifizéiert sinn. De Problem erschéngt nëmmen a Konfiguratiounen mat enger "Alias" Direktiv, déi am "Location" Block plazéiert ass, de Parameter vun deem net mat engem "/" Charakter endet, während "alias" mat "/" endet.
D'Essenz vum Problem ass datt Dateie fir Blocks mat der Alias-Direktiv gegeben ginn andeems de ugefrote Wee befestegt gëtt, nodeems se mat der Mask aus der Standortdirektiv passen an den Deel vum Wee ausgeschnidden, deen an dëser Mask spezifizéiert ass. Fir d'Beispill vun enger vulnérabel Konfiguratioun hei uewen, kann en Ugräifer d'Datei "/img../test.txt" ufroen an dës Ufro passt mat der Mask, déi op der Plaz "/img" spezifizéiert ass, no deem de verbleiwenen Schwanz "../test.txt" un de Wee vun der Alias-Direktiv "/var/images/" befestegt gëtt an als Resultat d'Datei "/var/tested.txt" gëtt "/var/tested.txt". Also, Ugräifer kënnen all Dateien am "/var" Verzeichnis zougräifen, an net nëmmen Dateien an "/var/images/", zum Beispill, fir den nginx Log erofzelueden, kënnt Dir d'Ufro schécken "/img../log/nginx/access.log".
A Konfiguratiounen, an deenen de Wäert vun der Alias-Direktiv net mat engem "/" Charakter endet (zum Beispill, "Alias /var/images;"), kann den Ugräifer net an den Elterenverzeichnis änneren, awer en anere Verzeechnes an /var ufroen, deem säin Numm mat deem beginnt, deen an der Konfiguratioun spezifizéiert ass. Zum Beispill, andeems Dir "/img.old/test.txt" ufrot, kënnt Dir op de Verzeechnes "var/images.old/test.txt" zougräifen.
Eng Analyse vun de Repositories op GitHub huet gewisen datt Feeler an der nginx Konfiguratioun, déi zum Problem féieren, nach ëmmer an echte Projete fonnt ginn. Zum Beispill gouf d'Präsenz vun engem Problem am Backend vum Bitwarden Passwuertmanager entdeckt a konnt benotzt ginn fir Zougang zu all Dateien am /etc/bitwarden Verzeichnis (Ufroe fir /attachments goufen aus /etc/bitwarden/attachments/ ausgestallt), dorënner d'Datebank, déi do gespäichert ass mat Passwierder "vault.db", e Certificat a Logbicher, fir déi et "vattachd.b.ident. ity.pfx", "/atta chments../logs/api.log" etc.
D'Method huet och mam Google HPC Toolkit geschafft, wou /static Ufroen an de Verzeechnes "../hpc-toolkit/community/front-end/website/static/" ëmgeleet goufen. Fir eng Datebank mat engem private Schlëssel an Umeldungsinformatiounen ze kréien, kann en Ugräifer Ufroen "/static../.secret_key" an "/static../db.sqlite3" schécken.
Source: opennet.ru