Die kritische Schwachstelle im Webserver nginx ermöglicht es Angreifern, bösartigen Code in das System einzuschleusen und dadurch die Kontrolle zu übernehmen. Die betroffene Version ist die Stable-Version 1․4․0 und ebenfalls alle Development-Versionen seit 1․3․9. Die weit verbreitete 1․2.xer Versionszweig hingegen ist nicht von der Sicherheitslücke betroffen.
4․1 geschlossen. Wer die Development-Version einsetzt, sollte auf die abgesicherte Version 1․5․0 umsteigen. Darüber hinaus gibt es einen Patch.
Bei der Lücke handelt es sich um einen Pufferüberlauf auf dem Stack der sich zum Einschleusen von Code missbrauchen lässt. Um einen verwundbaren Server zu kompromittieren sendet der Angreifer einen speziell präparierten Request an den Server. Entdeckt wurde die Lücke von dem Sicherheitsexperten Greg MacManus von iSIGHT Partners Labs.
Wer nginx in einer verwundbaren Version betreibt sollte umgehend handeln. Da es sich um ein Open-Source-Projekt handelt kann man leicht nachvollziehen an welcher Stelle im Code sich die Schwachstelle befindet. Damit ist der Grundstein zur Entwicklung eines passenden Exploits gelegt.
Kommentare