{"id":64,"date":"2013-12-02T17:19:40","date_gmt":"2013-12-02T17:22:20","guid":{"rendered":"https:\/\/5edafnginx-http-server-620x200.gif"},"modified":"2015-07-16T19:04:40","modified_gmt":"2015-07-17T01:04:40","slug":"salto-de-restricciones-de-seguridad-en-servidores-nginx","status":"publish","type":"post","link":"https:\/\/emanuelpaxtian.com\/blog\/salto-de-restricciones-de-seguridad-en-servidores-nginx\/","title":{"rendered":"Salto de restricciones de seguridad en servidores nginx"},"content":{"rendered":"

nginx es un servidor web, open source y desarrollado casi \u00edntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al m\u00e1ximo los recursos del sistema. Una prueba de ello es que viene por defecto instalado en algunas distribuciones para Raspberry Pi. Tambi\u00e9n puede realizar la funci\u00f3n de servidor Proxy inverso para HTTP, SMTP, POP3 e IMAP.Ivan Fratric del equipo de seguridad de Google ha descubierto un fallo en nginx que podr\u00eda permitir a un atacante remoto eludir restricciones de seguridad de algunas configuraciones.<\/p>\n

Ivan Fratric del equipo de seguridad de Google ha descubierto un fallo en nginx que podr\u00eda permitir a un atacante remoto eludir restricciones de seguridad de algunas configuraciones.<\/p>\n

La vulnerabilidad con CVE-2013-4547 se produce en peticiones URI que contengan el car\u00e1cter ‘espacio’ y no se encuentre escapado, concretamente no se comprueba el car\u00e1cter que haya a continuaci\u00f3n de \u00e9ste, pudiendo as\u00ed eludir restricciones de seguridad como la siguiente:<\/p>\n

location \/protected\/ {
\ndeny all;
\n}<\/p>\n

Se puede tomar como ejemplo la petici\u00f3n “\/foo \/..\/protected\/file” (es necesario que exista el directorio “foo “).<\/p>\n

Afecta a las versiones 0.8.41 \u2013 1.5.6 y se encuentra ya solucionado en las versiones 1.5.7, 1.4.4 .<\/p>\n","protected":false},"excerpt":{"rendered":"

nginx es un servidor web, open source y desarrollado casi \u00edntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al m\u00e1ximo los recursos del sistema. Una…<\/p>\n","protected":false},"author":1,"featured_media":389,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,10],"tags":[],"class_list":["post-64","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-general","category-seguridad"],"_links":{"self":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/64","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/comments?post=64"}],"version-history":[{"count":0,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/64\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media\/389"}],"wp:attachment":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media?parent=64"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/categories?post=64"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/tags?post=64"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}