image

Nginx-webservers door ernstig PHP7-lek over te nemen

zondag 27 oktober 2019, 08:48 door Redactie, 24 reacties

Webservers die op Nginx draaien kunnen door een ernstig beveiligingslek in PHP7 dat afgelopen donderdag werd gepatcht op afstand worden overgenomen en inmiddels zou de kwetsbaarheid actief worden aangevallen. Het lek bevindt zich in PHP-FPM, de FastCGI Process Manager (FPM) voor PHP.

Via FastCGI kan de browser gegevens van de webserver opvragen. De kwetsbaarheid (CVE-2019-11043) die afgelopen donderdag werd gepatcht maakt het in bepaalde gevallen voor een remote aanvaller mogelijk om willekeurige code op de webserver uit te voeren. De aanval is alleen mogelijk als er aan vier voorwaarden wordt voldaan, zo meldt securitybedrijf Tenable. Het gaat dan om gebruikte parameters en configuratieopties.

Nextcloud, opensourcesoftware voor online bestandsopslag, blijkt deze configuratie standaard te gebruiken. Next-cloudgebruikers krijgen dan ook het advies om hun PHP-versie te updaten en Nginx-configuratie aan te passen. De kwetsbaarheid is verholpen in PHP 7.3.11 en 7.2.24. Een proof-of-concept-exploit is inmiddels online verschenen en volgens securitybedrijf Bad Packets wordt de kwetsbaarheid actief aangevallen, zo laat het tegenover ZDnet weten.

Reacties (24)
27-10-2019, 16:25 door Anoniem
Het beste wat je dus dan te zien kunt krijgen is Acsess Denied na - ?a=/bin/sh+-c+'which+which'&

#sockpuppet
27-10-2019, 18:05 door Anoniem
Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?
27-10-2019, 19:50 door [Account Verwijderd] - Bijgewerkt: 27-10-2019, 20:44
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

https://www.bestagencies.com/blog/10-awesome-static-site-generators-php/

Beyond PHP:

https://medium.com/codingthesmartway-com-blog/top-static-site-generators-for-2019-26a4c8afcc05
27-10-2019, 20:11 door Anoniem
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?
Op zich een goede vraag. Ik heb zelf iets geknutseld in awk (en make). Maar ik schrijf dan ook alleen maar tekst met af en toe een linkje en hoef er eigenlijk alleen een kop en een staart aan te breien. Er zijn wel een stel CMSen en zelfs wikis die ook statisch kunnen genereren. Je kan zelfs groff inzetten om html te genereren. Dus kijk rond.

Zijn er nog specifieke dingen die je wil dat het doet? Heel even zoeken en ik verzuip in de statische generators dus een lijstje met wat criteria om de kandidatenlijst in te perken is wel een goed idee.
27-10-2019, 23:41 door Anoniem

Dank je.

Vannacht wordt een grote en op PHP gebaseerde website onder Nginx gezet en in zijn geheel omgezet naar statisch HTML, want dat is beter voor de nachtrust. Iets dat veel eerder had moeten gebeuren.
28-10-2019, 05:57 door [Account Verwijderd]
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

Dat is natuurlijk Hiawatha. https://en.wikipedia.org/wiki/Hiawatha_(web_server)
28-10-2019, 07:13 door Anoniem
Door donderslag:
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

Dat is natuurlijk Hiawatha. https://en.wikipedia.org/wiki/Hiawatha_(web_server)
De hulpmiddelen die je gebruikt om HTML en CSS te ontwikkelen staan los van de serversoftware die je gebruikt om het resultaat van die ontwikkelinspanning te publiceren.
28-10-2019, 07:59 door Anoniem
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

Laten we niet overdrijven, 1 zo'n nginx bug in hoeveel jaar ?

Misschien zelfs wel de eerste keer in nginx dat er een CGI exploit is.
28-10-2019, 09:53 door Anoniem
Door Anoniem:
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?
Laten we niet overdrijven, 1 zo'n nginx bug in hoeveel jaar ?
Strikt genomen een bug in PHP die toevallig (ook) via nginx te misbruiken is.

Misschien zelfs wel de eerste keer in nginx dat er een CGI exploit is.
Nee hoor. Sterker, er zijn nogal wat mensen die niet doorhadden dat nginx veel meer reverse proxy dan webserver is, en dat daar wat geniepigheden in de configuratie bij komen kijken.


Maargoed, als je website niet dynamisch hoeft te zijn dan is het best een goed idee om 'm naar volstrekt statisch te converteren. Want denk maar na: Als een pagina (veel) vaker wordt opgevraagd dan dat de inhoud wijzigt is het voor iedere aanvraag helemaal opnieuw inelkaar klussen van zo'n pagina (veel)dubbel werk. Dan kun je er wel weer een (php app-)cache tussen stoppen maar dat is weer een dikke laag complexiteit met eigen gotchas. En hoe meer complexiteit, hoe meer kans op beveiligingsproblemen. Dus vanuit security-oogpunt is complexiteit reduceren best een goed idee.

Dus in plaats daarvan gebruik je zo'n omgeving om lekker makkelijk je paginas te wijzigen en als je daarmee klaar bent genereer je een setje statische paginas die je de productieserver te serveren geeft. Zo moeilijk is dat niet.

Daarnaast scheelt het resources --een goede webserver kan een statische pagina gelijk van (solid state of zelfs memory)disk zo de netwerkstack in frommelen zonder door userspace te moeten, zie bv. sendfile()-- en is dus goed voor performance en zelfs het milieu.

En nachtrust. Dus, win-win-win-win maarliefst. Dat is zoveel win dat de directe aanleiding mischien zelfs wat minder belangrijk wordt. Het zou voor meer sites best een goed idee zijn zich af te vragen of er mischien wat minder dynamisch (wordpress met heul erg veul plugins die vaak meer "leuk" dan nuttig zijn bijvoorbeeld; regelmatig blijkt er weer eentje lek) en wat meer statisch geserveerd mag worden.
28-10-2019, 12:03 door [Account Verwijderd]
Door donderslag:
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

Dat is natuurlijk Hiawatha. https://en.wikipedia.org/wiki/Hiawatha_(web_server)

Abandonware... In February 2019 Leisink simultaneously announced the release of version 10.9 and the end of major development in a pair of blog posts.[12].

(Of iemand anders moet het oppakken want open source).
28-10-2019, 12:05 door Anoniem
Door Anoniem:
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

Laten we niet overdrijven, 1 zo'n nginx bug in hoeveel jaar ?

Misschien zelfs wel de eerste keer in nginx dat er een CGI exploit is.

Maak je geen zorgen, hier is zeker geen sprake van paniek :-)

Vanaf 2009 tot vandaag zijn er voor de Nginx server slechts een klein aantal (26) CVEs gepubliceerd [1], waaronder in 2017 slechts 1 in de categorie rood. Mij hoor je niet klagen over de kwaliteit van Nginx. Vergeleken met statisch HTML is daarop gaan werken met WordPress, of dynamisch scripten met PHP, echter vragen om onnodige problemen.

Een dynamische of database gedreven site beheren is voor mijn doeleinden strikt genomen overbodig. Als ik Nginx daarom zonder WordPress, Drupal of PHP kan draaien, door voor de layout CSS en voor de weinige dynamische inhoud server side includes (.shtml) toe te passen, en een simpel JavaScript, dan is dat mijns inziens een verstandig besluit.

[1] https://www.cvedetails.com/product/17956/Nginx-Nginx.html?vendor_id=10048
28-10-2019, 12:55 door Anoniem
Het nieuws wordt nogal opgeklopt door de redactie omdat ze zelf niet even de moeite genomen hebben de CVE door te nemen noch de readme van de exploit zelf.
dat is jammer.

De kans dat je kwetsbaar bent is namelijk redelijk klein want je moet aan allerlei niet standaard voorwaarden voldoen om de exploit te laten slagen.
28-10-2019, 14:17 door Anoniem
Door Anoniem: Het nieuws wordt nogal opgeklopt door de redactie omdat ze zelf niet even de moeite genomen hebben de CVE door te nemen noch de readme van de exploit zelf.
dat is jammer.

De kans dat je kwetsbaar bent is namelijk redelijk klein want je moet aan allerlei niet standaard voorwaarden voldoen om de exploit te laten slagen.
Er staat gewoon in het artikel dat de aanval alleen mogelijk is als er aan vier voorwaarden wordt voldaan....
28-10-2019, 15:42 door Anoniem
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

vi
28-10-2019, 18:52 door [Account Verwijderd]
Door Ex Machina:
Door donderslag:
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?

Dat is natuurlijk Hiawatha. https://en.wikipedia.org/wiki/Hiawatha_(web_server)

Abandonware... In February 2019 Leisink simultaneously announced the release of version 10.9 and the end of major development in a pair of blog posts.[12].

(Of iemand anders moet het oppakken want open source).

Hijzelf? Kijk maar naar zijn eigen blogpost: https://www.hiawatha-webserver.org/weblog
29-10-2019, 00:00 door [Account Verwijderd] - Bijgewerkt: 29-10-2019, 00:02
Door donderslag:
Door Ex Machina: ... Hiawatha ...
(Of iemand anders moet het oppakken want open source).

Hijzelf? Kijk maar naar zijn eigen blogpost: https://www.hiawatha-webserver.org/weblog

Ik citeer daaruit: "Recently, a serious issue was found in the Hiawatha webserver and the fact that I didn't care much, made me realize that it's time to stop."

Plus dat je met een webserver geen statische HTML genereert...
29-10-2019, 07:29 door [Account Verwijderd]
Door Ex Machina:
Door donderslag:
Door Ex Machina: ... Hiawatha ...
(Of iemand anders moet het oppakken want open source).

Hijzelf? Kijk maar naar zijn eigen blogpost: https://www.hiawatha-webserver.org/weblog

Ik citeer daaruit: "Recently, a serious issue was found in the Hiawatha webserver and the fact that I didn't care much, made me realize that it's time to stop."

Plus dat je met een webserver geen statische HTML genereert...

Maar hij heeft wel een nieuwe versie uitgebracht.
29-10-2019, 09:38 door [Account Verwijderd] - Bijgewerkt: 29-10-2019, 10:24
Door donderslag:
Door Ex Machina:
Door donderslag:
Door Ex Machina: ... Hiawatha ...
(Of iemand anders moet het oppakken want open source).

Hijzelf? Kijk maar naar zijn eigen blogpost: https://www.hiawatha-webserver.org/weblog

Ik citeer daaruit: "Recently, a serious issue was found in the Hiawatha webserver and the fact that I didn't care much, made me realize that it's time to stop."

Plus dat je met een webserver geen statische HTML genereert...

Maar hij heeft wel een nieuwe versie uitgebracht.

In zijn eigen woorden is hij het een beetje zat en dat wekt weinig vertrouwen. Het is een algemeen probleem bij one-man-supported software.
29-10-2019, 10:47 door Anoniem
Door Ex Machina:
In zijn eigen woorden is hij het een beetje zat en dat wekt weinig vertrouwen. Het is een algemeen probleem bij one-man-supported software.
Hugo hier. Ik was het zat om moeite te doen om een alternatief te maken voor Apache en nginx. Dus de promo-pogingen was ik zat. Ik blijf Hiawatha door ontwikkelen, maar nu puur voor mezelf. Verwacht dus geen HTTP/2 en zeker geen HTTP/3 (bah). Het blijft open source, dus ik deel mijn nieuwe releases, maar dit zal dus een veel lagere frequentie hebben dan daarvoor.
29-10-2019, 11:01 door Anoniem
Door Ex Machina: In zijn eigen woorden is hij het een beetje zat en dat wekt weinig vertrouwen. Het is een algemeen probleem bij one-man-supported software.
Ga met hem praten. Start een groep. Maak er een gemeenschapsding van.
29-10-2019, 12:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Weet iemand toevallig nog een goede ontwikkelomgeving voor het genereren van geheel statische webpagina's?
Laten we niet overdrijven, 1 zo'n nginx bug in hoeveel jaar ?
Strikt genomen een bug in PHP die toevallig (ook) via nginx te misbruiken is.

Misschien zelfs wel de eerste keer in nginx dat er een CGI exploit is.
Nee hoor. Sterker, er zijn nogal wat mensen die niet doorhadden dat nginx veel meer reverse proxy dan webserver is, en dat daar wat geniepigheden in de configuratie bij komen kijken.


Maargoed, als je website niet dynamisch hoeft te zijn dan is het best een goed idee om 'm naar volstrekt statisch te converteren. Want denk maar na: Als een pagina (veel) vaker wordt opgevraagd dan dat de inhoud wijzigt is het voor iedere aanvraag helemaal opnieuw inelkaar klussen van zo'n pagina (veel)dubbel werk. Dan kun je er wel weer een (php app-)cache tussen stoppen maar dat is weer een dikke laag complexiteit met eigen gotchas. En hoe meer complexiteit, hoe meer kans op beveiligingsproblemen. Dus vanuit security-oogpunt is complexiteit reduceren best een goed idee.

Dus in plaats daarvan gebruik je zo'n omgeving om lekker makkelijk je paginas te wijzigen en als je daarmee klaar bent genereer je een setje statische paginas die je de productieserver te serveren geeft. Zo moeilijk is dat niet.

Daarnaast scheelt het resources --een goede webserver kan een statische pagina gelijk van (solid state of zelfs memory)disk zo de netwerkstack in frommelen zonder door userspace te moeten, zie bv. sendfile()-- en is dus goed voor performance en zelfs het milieu.

En nachtrust. Dus, win-win-win-win maarliefst. Dat is zoveel win dat de directe aanleiding mischien zelfs wat minder belangrijk wordt. Het zou voor meer sites best een goed idee zijn zich af te vragen of er mischien wat minder dynamisch (wordpress met heul erg veul plugins die vaak meer "leuk" dan nuttig zijn bijvoorbeeld; regelmatig blijkt er weer eentje lek) en wat meer statisch geserveerd mag worden.

Ik ben zeker niet tegen statische pagina's.

Het zou wel mooi zijn als iedere website uit statische bestanden bestaat dan kunnen we het allemaal op IPFS zetten en klaar. Betere caching, minder centralisatie Alles dat dynamisch is kan dan in Javascript.

Dat is dan ook eigenlijk zoiets als Iedere file voorzien van Subresource Integrity informatie, dus extra checks, dat is ook mooi.

Anoniem van Gisteren, 07:59 door
31-10-2019, 19:43 door [Account Verwijderd]
Door Anoniem:
Door Ex Machina:
In zijn eigen woorden is hij het een beetje zat en dat wekt weinig vertrouwen. Het is een algemeen probleem bij one-man-supported software.
Hugo hier. Ik was het zat om moeite te doen om een alternatief te maken voor Apache en nginx. Dus de promo-pogingen was ik zat. Ik blijf Hiawatha door ontwikkelen, maar nu puur voor mezelf. Verwacht dus geen HTTP/2 en zeker geen HTTP/3 (bah). Het blijft open source, dus ik deel mijn nieuwe releases, maar dit zal dus een veel lagere frequentie hebben dan daarvoor.

Het siert je dat je dat hebt geprobeerd maar dat lijkt me niet te doen, als eenmansproject opboksen tegen de ontwikkelteams van die grote spelers.
01-11-2019, 15:44 door Anoniem
Door Anoniem: Zijn er nog specifieke dingen die je wil dat het doet? Heel even zoeken en ik verzuip in de statische generators dus een lijstje met wat criteria om de kandidatenlijst in te perken is wel een goed idee.

[x] Eenvoudig
[x] WYSIWYG
[x] Onderhouden
[x] Python-only
[x] Vim-compatible :-)

Linux Magazine september 2019 behandelt in de vaste rubriek 'Linux at the Office' de Pelican 4 static site generator. Die static site generator (https://blog.getpelican.com) werkt volgens het WYSIWYG-principe en is gebaseerd Python. Pelican is eenvoudig in gebruik, wordt redelijk goed onderhouden en is onder Debian als package beschikbaar.
02-11-2019, 07:13 door [Account Verwijderd] - Bijgewerkt: 02-11-2019, 07:19
Door Anoniem:
[x] Python-only

Python? Dat is wel érg traag... Ik zou dan eerder voor bv. https://jbake.org/ gaan.

JBake is a Java based, open source, static site/blog generator for developers & designers.

Open Source
Source available on GitHub, licensed under MIT License

Cross platform support
The binary distribution runs on Windows, Unix/Linux and Mac OS X.

Content Formats
Supports AsciiDoc, Markdown and good old HTML formatted content.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.