Diẹ ninu awọn olupin Nginx wa ni ipalara si ilana Nginx Alias Traversal, eyiti a dabaa ni apejọ Blackhat pada ni ọdun 2018 ati gba iwọle si awọn faili ati awọn ilana ti o wa ni ita itọsọna gbongbo ti pato ninu itọsọna “alias”. Iṣoro naa han nikan ni awọn atunto pẹlu itọsọna “inagijẹ” ti a gbe sinu bulọọki “ipo” eyiti paramita rẹ ko pari pẹlu ohun kikọ “/”, lakoko ti “inagijẹ” pari pẹlu “/”.
Koko-ọrọ ti iṣoro naa ni pe awọn faili fun awọn bulọọki pẹlu itọsọna inagijẹ ni a ṣiṣẹ nipasẹ sisopọ ọna ti o beere, lẹhin ti o ṣe afiwe pẹlu iboju-boju lati itọsọna ipo ati gige apakan ti ọna ti o ṣalaye ni iboju-boju yii. Fun apẹẹrẹ ti iṣeto ipalara ti o han loke, ikọlu le beere faili naa “/ img../test.txt” ati pe ibeere yii yoo ṣubu labẹ iboju “/ img” ti a ṣalaye ni ipo, lẹhin eyi iru ti o ku “... /test.txt” yoo somọ si ọna lati itọsọna inagijẹ “/var/images/” ati pe yoo beere faili “/var/images/../test.txt” nikẹhin. Nitorinaa, awọn ikọlu le wọle si awọn faili eyikeyi ninu itọsọna “/ var”, kii ṣe awọn faili nikan ni “/ var/images/”, fun apẹẹrẹ, lati ṣe igbasilẹ log nginx, o le fi ibeere naa ranṣẹ “/ img../log/ nginx/ access.log".
Ninu awọn atunto ninu eyiti iye itọsọna inagijẹ ko pari pẹlu ihuwasi “/” (fun apẹẹrẹ, “alias/var/images;”) orukọ ẹniti bẹrẹ pẹlu kanna pato ninu iṣeto ni. Fun apẹẹrẹ, nipa bibere "/img.old/test.txt" o le wọle si itọsọna "var/images.old/test.txt".
Iṣiro ti awọn ibi ipamọ lori GitHub fihan pe awọn aṣiṣe ni iṣeto nginx ti o yorisi iṣoro naa tun waye ni awọn iṣẹ akanṣe gidi. Fun apẹẹrẹ, a ṣe idanimọ iṣoro naa ni ẹhin ti oluṣakoso ọrọ igbaniwọle Bitwarden ati pe o le lo lati wọle si gbogbo awọn faili ninu / ati be be lo / bitwarden liana (/ awọn ibeere asomọ ti a ti gbejade lati / ati be be lo / bitwarden / awọn asomọ /), pẹlu “ipamọ”. .db", ijẹrisi ati awọn akọọlẹ, lati gba eyiti o to lati fi awọn ibeere ranṣẹ "/attachments../vault.db", "/attachments../identity.pfx", "/attachments../logs/api.log ", ati bẹbẹ lọ.P.
Ọna naa tun ṣiṣẹ pẹlu Google HPC Toolkit, eyiti o darí / awọn ibeere aimi si “../hpc-toolkit/community/front-end/website/static/” directory. Lati gba aaye data pẹlu bọtini ikọkọ ati awọn iwe-ẹri, ikọlu le firanṣẹ awọn ibeere “/static../.secret_key” ati “/static../db.sqlite3”.
orisun: opennet.ru