updated: Zero-Click Server-Side RCE в njs

в 16:18, , рубрики: nginx, njs, rce, информационная безопасность

image

Известная исследовательница Алиса Шевченко alisaesage обнаружила уязвимость удаленного выполнения произвольного кода в последних версиях веб-сервера nginx.

UPD: Не nginx, а njs, не уязвимость, а просто баг (уже пофикшен в последней версии) — компания Nginx отписалась, что этот баг не может быть использован как уязвимость. (спасибо lega за уточнение)

Детали уязвимости пока не известны и держатся в тайне согласно 90-дневной политике неразглашения.

image

За историю nginx с 2009 года обнаружено всего порядка 20 уязвимостей, из них ни одной RCE. Стоимость такого рода уязвимостей:

— Zerodium — $200k
— ZDI TIP — $200k (fame included)
— legal non-public buyers: multiply above by a factor of 3++

Несмотря на то, что PoC и эксплойта нет в паблике не доверять словам Алисы нельзя — она давно зарекомендовала себя как отличный специалист (и даже находится в санкционном списке), а это значит что тысячи исследователей побегут исследовать исходный код nginx для выявления этой гром-баги до официального патча.

Автор: LukaSafonov

Источник

* - обязательные к заполнению поля