Lücke in Webserver nginx erlaubt Directory-Traversal-Angriffe

Das WebDAV-Modul der leichtgewichtigen Webserver-Software nginx ist derzeit anfällig. Angreifer könnten Dateien außerhalb des vorkonfigurierten root-Verzeichnisses speichern, indem sie Zeichen wie zum Beispiel „../“ an den COPY- oder MOVE-Befehl anfügen. Damit ein Angriff erfolgreich sein kann, muss nginx mit http_dav_module kompiliert sein und der Angreifer muss die oben genannten Befehle ausführen dürfen.

Laut Kongcope, dem Entdecker der Schwachstelle, könnte der Fehler vor allen Dingen auf virtuellen Host-Systemen mit mehreren Gästen ein Problem darstellen. Entdeckt wurde der Fehler in Version .07.61 und ist für die aktuelle Ausgabe 0.7.62 bestätigt. Derzeit gibt es kein Update. Nginx hat in letzter Zeit wegen seines geringen Hardware-Hungers zunehmend an Popularität gewonnen. (jdo)