2020 年 3 月 18 号,hackerone 披露了两枚关于 Nginx 和 OpenResty 的漏洞,分别涉及到内存泄漏和目录穿越,详细的内容大家可以参考 hackerone (https://hackerone.com/reports/513236) 的分析,我这里补充说明下:

   1. Nginx 的 rewrite 指令在没有检查用户输入的情况下,会导致目录穿越,危险等级:高危
    2. Nginx 的 rewrite 指令在没有检查用户输入的情况下,会导致内存泄漏,危险等级:低危

    3. OpenResty 的 rewrite 指令,以及 ngx.req.set_uri 没有检测非法输入值,会导致内存泄漏和目录穿越,危险等级:高危

其中,第二个低危的漏洞,Nginx 已经在 1.17.7 的版本中修复,用户更新到最新版本即可解决。而且这个漏洞在 Nginx 这种静态配置文件驱动的 web 服务器上很难被利用,除非是用户自己配置了非法字符。

但是,1 和 3 这两个高危的漏洞在报告给 Nginx 和 OpenResty 之后的三、四个月的时间内,一直没有被修复。以下是漏洞披露时间线:

nginx 修复ssrf漏洞 nginx最新漏洞_内存泄漏

在得知这个安全风险的第一时间,Apache APISIX 的 PPMC 团队就立即针对 Apache APISIX 的风险做了评估,结论是:低危,用户不用做任何处理。原因如下:

  1. Apache APISIX 是纯动态来改写用户请求的,并没有使用 Nginx 的 rewrite 指令;
  2. ngx.req.set_uri 只在 grpc 转码插件中使用了一次,而且是管理员的输入。

但对于正在使用 Nginx 和 OpenResty 的用户而言,在官方修复并发布新版本之前,也可以使用如下方法来处理:

  1. 检测 Nginx 配置文件中的 rewrite 指令,要对用户的输入值做检测,不能无条件转发;
  2. 检查 Nginx 的用户权限,不能是管理员权限;
  3. 对于用户的输入,做非法值过滤后,才能调用 ngx.req.set_uri 和 ngx.req.set_header。
  4. 如果有技术实力,可以自行修复,不用等官方 patch。