Rilasciati aggiornamenti di sicurezza per Nginx web server

12/11/2018

Nginx Patch Vulnerabilità

Il team di sviluppo di Nginx ha rilasciato le versioni 1.15.6 e 1.14.1 per risolvere 2 vulnerabilità di HTTP/2 che potrebbero causare una condizione di denial-of-service (dos) che affligge il prodotto dalle versioni 1.9.5  – alla 1.15.5. Una terza vulnerabilità riguarda invece il modulo ngx_http_mp4_module.

Nginx è un web server/reverse proxy leggero ad alte prestazioni, nonché proxy di posta elettronica (IMAP / POP3), distribuito sotto licenza BSD-like e molto noto per le sue elevate prestazioni, stabilità e basso consumo di risorse. Di seguito alcuni dettagli sulle vulnerabilità individuate:

Vulnerabilità CVE-2018-16843 e CVE-2018-16844

Come dichiarato dallo sviluppatore Maxim Dounin, le vulnerabilità contrassegnate dai CVE-2018-16843 e CVE-2018-16844 possono causare un uso eccessivo della memoria nel primo caso e un uso eccessivo della CPU nell’altro. Il problema si verifica se Nginx risulta compilato col modulo ngx_http_v2_module (di default non lo è) e se l’opzione “http2” della direttiva “listen” è usata nella configurazione del file.

Vulnerabilità CVE-2018-16845

Secondo l’avviso di sicurezza pubblicato da NVD, la vulnerabilità (CVE-2018-16845) sul modulo ngx_http_mp4_module potrebbe essere sfruttata da un utente malintenzionato per generare un ciclo infinito o un arresto del processo di lavoro. L’attacco è possibile solo se se la direttiva .mp4 è usata nel file di configurazione e Nginx è compilato col modulo ngx_http_mp4_module (di default non lo è) , in tal caso un utente malintenzionato sarebbe in grado di attivare, tramite tale modulo, l’elaborazione di un file mp4 appositamente predisposto.

Server vulnerabili

In base ai risultati di un’interrogazione effettuata sul motore di ricerca Shodan, attualmente in Italia sarebbero vulnerabili 1.494 server web con versioni di nginx unpatched e a livello globale il numero delle macchine impattate sarebbe oltre il milione.

 

Rimedio

La problematica può essere risolta aggiornando Nginx alle versioni 1.15.6 e 1.14.1.