Появился эксплоит для уязвимости CVE-2016-1247, повышающий права nginx до root в Debian и Ubuntu

В минувший понедельник Давид Голунский (Dawid Golunski) опубликовал на своём ресурсе Legal Hackers эксплоит, использующий уязвимость CVE-2016-1247 для получения прав root в веб-сервере nginx.

Эксплоит Голунского в действии / Иллюстрация с сайта Legal Hackers

Уязвимость, автор которой присвоил ей «высокий» уровень опасности, была впервые обнаружена у дистрибутива Debian GNU/Linux и основанных на нём (включая Ubuntu) почти месяц назад, 25 октября. Она заключается в том, что создаваемые директории для логов имеют небезопасные права доступа, позволяющие путём подмена файла и перезагрузки службы nginx (или получения сигнала USR1, что делается регулярно с logrotate) повысить привилегии (с www-data до root). Разумеется, чтобы удалённо воспользоваться CVE-2016-1247, злоумышленнику необходима другая уязвимость в веб-приложении, позволяющая выполнять команды с правами nginx.

В стабильном выпуске Debian (Jessie) эта проблема была исправлена в версии nginx 1.6.2-5+deb8u3 (DSA-3701-1), Ubuntu — 1.4.6-1ubuntu3.6 для 14.04 и 1.10.0-0ubuntu0.16.04.3 для 16.04 (USN-3114-1). Ubuntu 12.04 оказалась не подвержена уязвимости, а в Red Hat проблеме присвоили «низкий» уровень опасности, поскольку политики SELinux по умолчанию в RHEL и Fedora ограничивают набор файлов, в которые nginx может писать свои логи.

Дмитрий Шурупов по материалам Legal Hackers, debian.org, Ubuntu.com, Bugzilla.Redhat.Com.