信息來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

近期，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Nginx存在權(quán)限提升漏洞（CNVD-2016-10448，對(duì)應(yīng)CVE-2016-1247）。綜合利用該漏洞，本地及遠(yuǎn)程攻擊者可利用該漏洞獲取root權(quán)限。該產(chǎn)品廣泛應(yīng)用于構(gòu)建網(wǎng)站服務(wù)器，由于漏洞驗(yàn)證信息已經(jīng)公開，該漏洞可能誘發(fā)以控制為目的大規(guī)模攻擊。CNCERT第一時(shí)間對(duì)上述漏洞的相關(guān)情況進(jìn)行了解和分析，具體通報(bào)如下：

        一、漏洞情況分析

        Nginx是俄羅斯軟件開發(fā)者Igor Sysoev所研發(fā)的一款HTTP和反向代理服務(wù)器，也可以作為郵件代理服務(wù)器，被廣泛應(yīng)用于網(wǎng)站服務(wù)器搭建。Ubuntu官方發(fā)布的安全公告稱，Nginx程序在日志文件處理權(quán)限錯(cuò)誤，遠(yuǎn)程攻擊者利用該漏洞可獲取系統(tǒng)ROOT權(quán)限。Debian官方公告稱，由于Debian 系統(tǒng)上的Nginx服務(wù)器包處理日志文件的方式，本地攻擊者利用漏洞可訪問/var/log/nginx目錄，讀取日志文件。

        CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“高危”。

        二、漏洞影響范圍

        該漏洞影響基于Debian操作系統(tǒng)的Nginx 1.6.2-5+deb8u3之前的版本、基于Ubuntu16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3之前版本、基于Ubuntu 14.04 LTS操作系統(tǒng)的1.4.6-1ubuntu3.6之前版本和基于Ubuntu 16.10操作系統(tǒng)的1.10.1-0ubuntu1.1之前版本。應(yīng)用Nginx搭建的其他web服務(wù)器也可能存在同類安全風(fēng)險(xiǎn)。

        根據(jù)CNVD秘書處普查情況，受到漏洞影響的運(yùn)行于Debian操作系統(tǒng)平臺(tái)的Nginx服務(wù)器達(dá)到118萬(wàn)，而受影響的Ubuntu平臺(tái)Nginx服務(wù)器更多，達(dá)到676萬(wàn)。整體看，受影響較大的排名前五名的國(guó)家和地區(qū)分別是美國(guó)（占比52.4%）、德國(guó)（7.1%）、中國(guó)(6.3%)、英國(guó)(6.8%)、法國(guó)(4.4%)。

        三、漏洞修復(fù)建議

        目前，多個(gè)系統(tǒng)廠商已發(fā)布了漏洞修復(fù)方案，用戶可將程序分別升級(jí)至基于Debian操作系統(tǒng)的Nginx 1.6.2-5+deb8u3版本、基于Ubuntu16.04 LTS操作系統(tǒng)的1.10.0-0ubuntu0.16.04.3版本、基于Ubuntu 14.04 LTS操作系統(tǒng)的1.4.6-1ubuntu3.6版本、基于Ubuntu 16.10操作系統(tǒng)的1.10.1-0ubuntu1.1版本。CNCERT建議用戶關(guān)注廠商主頁(yè)，升級(jí)到最新版本，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

        CNCERT 將繼續(xù)跟蹤事件后續(xù)情況。同時(shí)，請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作，如需技術(shù)支援，請(qǐng)聯(lián)系 CNCERT。電子郵箱： cncert@cert.org.cn，聯(lián)系電話： 010-82990999。