默认情况下,Nginx的世界可读日志设置
Nginx的(明显的引擎-X),一个轻量级的替代品,当它涉及到Apache Web服务器,安装默认情况下,是世界可读的访问和错误日??志。有关的问题,安全咨询Intitially指出,影响低,但研究人员已经发现,CloudPassage Reds …
2013-11-08
Nginx的(明显的引擎-X),一个轻量级的替代品,当它涉及到Apache Web服务器,安装默认情况下,是世界可读的访问和错误日??志。有关的问题,安全咨询Intitially指出,影响低,但研究人员已经发现,CloudPassage Redspin的问题,具有更广泛的影响力,包括基于电流源装置。
容易部署,lighweight替代到Apache当它涉及到Web服务器,Nginx的没有资源税,并能够轻松处理高流量域。的virsitility使得世界各地的开发人员,以及与投资者的最爱 – 谁上个月下降了1000万美元的资金对公司的喜爱。许多运行Nginx的网络上最流行的网站,其中包括脸谱,葫芦,Dropbox的,CloudFlare的,GitHub上,。根据Netcraft的顶部百万最繁忙的网站,15%的运行平台。
然而,Nginx的是它部署到生产环境之前,需要考虑的一个很独特的和意外的风险。上周,美国CERT发布CVE-2013-0337,Nginx的创建与access.log和error.log中突出的问题 – 它们安装与世界可读权限。
[ 日志管理基本 ]
运行Gentoo Linux的咨询,US-CERT指出,Nginx的1.3.13及早期版本是脆弱的,但是大卫萧伯纳首席技术官Redspin,和CloudPassage公司的应用安全研究中心主任安德鲁干草,发现了一个更大的受影响版本计数比CVE披露。
根据他们的测试,Nginx的1.5.6,1.4.3,1.2.9安装时,从源世界可读权限,默认情况下,还设置。此外,亚马逊的Nginx和版本在Ubuntu Linux实现做太多,它可能是其他“操作系统特定的软件包组合问题的CVE suceptible海伊指出,”在这个问题上的一份报告。
当被问及这个问题时,Nginx的的马克西姆Dounin告诉,一个研究员,他的公司被罚款日志的默认权限如何设置。
“如果在一个特定的配置,更严格的许可是必需的,这可能通过建立相应的日志文件所需的权限,或通过限制访问日志文件的目录,”Dounin说。
但问题有多严重?首先,它是负责安全的做法违反了信息访问,但在同一时间,它是不是圣杯漏洞熙告诉CSO。但在他看来“的默认配置确实给生产环境太大出入。”
Nginx是受欢迎,人气逐月增长。那么这个问题是什么意思组织风险明智的,它如何能影响他们的安全姿势?
“我认为这完全取决于如何配置你的Web应用程序,写信给nginx的日志的最后一件事,你要的是你的应用程序公开访问的系统上的任何人到一个日志文件,记录敏感的PII或其他受监管数据。 “海伊解释。
Nginx的(明显的引擎-X),一个轻量级的替代品,当它涉及到Apache Web服务器,安装默认情况下,是世界可读的访问和错误日??志。有关的问题,安全咨询Intitially指出,影响低,但研究人员已经发现,CloudPassage Redspin的问题,具有更广泛的影响力,包括基于电流源装置。
容易部署,lighweight替代到Apache当它涉及到Web服务器,Nginx的没有资源税,并能够轻松处理高流量域。的virsitility使得世界各地的开发人员,以及与投资者的最爱 – 谁上个月下降了1000万美元的资金对公司的喜爱。许多运行Nginx的网络上最流行的网站,其中包括脸谱,葫芦,Dropbox的,CloudFlare的,GitHub上,。根据Netcraft的顶部百万最繁忙的网站,15%的运行平台。
然而,Nginx的是它部署到生产环境之前,需要考虑的一个很独特的和意外的风险。上周,美国CERT发布CVE-2013-0337,Nginx的创建与access.log和error.log中突出的问题 – 它们安装与世界可读权限。
“我认为这完全取决于如何配置你的Web应用程序,写信给nginx的日志的最后一件事,你要的是你的应用程序公开访问的系统上的任何人到一个日志文件,记录敏感的PII或其他受监管数据。 “海伊解释。
