Nginx的(明显引擎-X),到Apache的轻量级替代,当涉及到Web服务器,安装是世界可读的默认访问和错误日志。Intitially,与此问题相关的安全公告指出,影响虽低,但研究人员在CloudPassage和Redspin已经发现这个问题有一个更广泛的范围,包括电流源环境的安装。
一个易于部署,lighweight到Apache替代,当涉及到Web服务器,Nginx的不含税的资源和能够处理高流量域提供方便。该virsitility使其成为开发人员的喜爱世界各地,以及与投资者的最爱 - 谁上月该公司在下跌资金千万$。许多网络上最流行的网站的运行Nginx的,包括Facebook,Hulu的,Dropbox的,CloudFlare的,GitHub上,等等。据Netcraft的,顶部万元最繁忙的网站的15%的运行平台。
然而,Nginx的配备了一个相当独特的和意外的风险,需要之前它部署到生产环境中加以考虑。上周,US-CERT发布了CVE-2013-0337,突出与Nginx的是如何创建的access.log和error.log问题 - 提的是,他们安装了世界可读权限。
[日志管理基础知识]
US-CERT,同Gentoo Linux咨询运行时指出,Nginx的版本1.3.13和更早的版本是脆弱的,但大卫·肖,首席技术官Redspin,和安德鲁干草,在CloudPassage公司应用安全研究总监,发现了受影响较大版本数比CVE披露。
根据他们的测试,从源代码安装Nginx 1.5.6、1.4.3和1.2.9时也默认设置了世界可读的权限。此外,亚马逊的Nginx的Linux实现和Ubuntu上的版本也是如此,而且很可能其他“操作系统特定包的组合也会受到CVE问题的影响,”Hay在一份关于这个问题的报告中指出。
当被问及这个问题,Nginx的公司的Maxim Dounin告诉一个研究人员,他的公司被罚款如何在日志的默认权限设定。
“如果在一个特定的配置要求更严格的权限,这可能是通过创建具有所需权限相应的日志文件,或通过限制访问与日志文件的目录,” Dounin说。
但问题有多严重呢?首先,这违反了负责任的信息访问安全惯例,但同时,它也不是安全漏洞的圣杯,Hay告诉CSO。但是在他看来,“默认配置确实为生产环境提供了太多的访问权。”
Nginx的是流行,而流行只是越来越多的一个月一个月。那么,是什么这个问题的意思是对一个组织的风险明智的,以及它如何会影响他们的安全状况?
“我认为这完全取决于你的Web应用程序是如何配置写入nginx的日志。你想要的最后一件事是为你的应用程序日志敏感的PII或其他受监管数据成是公开访问的任何系统上的日志文件”干草解释。
“出现安全风险的可能性很低,但涉及隐私的潜在风险要高得多。”我不禁想,如果一个组织在审计过程中发现了这个特别的发现,肯定不会太高兴。”
说到这里,我们询问了Hay关于需要做些什么来纠正这个问题的想法,特别是在Nginx把补丁放在了用户的肩上之后。使用logroatate来管理文件怎么样?
“如果你使用日志轮播,您可以旋转现有的日志文件,并创建有指定的权限,所有者和组新的日志文件。默认,然而,使用相同的模式,所有者和组与原始文件。赔率用户将应用安全审查的时候他们已经忽略了原始日志文件的权限logrotate的配置,然而,是不可能的,”他说。
“来解决此问题最快捷的方法就是使用chmod实用程序或者减少现有的或新的覆盖,权限,用户还应该确保这些权限仍然采用连续监测的方法和工具完好。”
这篇文章“Nginx默认设置世界可读的日志”最初是由CSO 。