English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务海博网论坛主机卫士系统 HGS 海博网论坛数据安全交换系统 DES 海博网论坛视频安全交换系统 VES 海博网论坛安全隔离与信息单向导入系统 SUCS 海博网论坛工控安全审计系统 SAS-ICS 海博网论坛工业安全隔离装置 ISID 海博网论坛工控安全入侵检测系统 IDS-ICS 海博网论坛工控漏洞扫描系统 ICSScan 海博网论坛工业网络安全监测管理平台 NSFOCUS INSP 海博网论坛工业防火墙 ISG 海博网论坛工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营海博网论坛云海博网论坛云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

【技术分析与防护方案】GoAhead httpd/2.5 to 3.5 LD_PRELOAD 远程代

2017-11-20

发布者：海博网论坛科技

综述

GoAhead Web Server在3.6.5之前的所有版本中存在一个远程代码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的HTTP请求参数初始化CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。当与glibc动态链接器结合使用时，使用特殊变量（如LD_PRELOAD）可以滥用该漏洞，从而导致远程代码执行。

参考链接：

https://www.elttam.com.au/blog/goahead/

https://github.com/embedthis/goahead/issues/249

受影响的版本

GoAhead Web Server Version < 3.6.5

不受影响的版本

GoAhead Web Server Version >= 3.6.5

技术防护方案

用户自查

该漏洞影响linux服务器上开启了动态链接可执行文件的用户，同时请检查当前GoAhead Web Server版本是否在受影响范围内，如果当前版本低于3.6.5，则存在风险。

版本检测可使用如下命令：

./goahead --version

官方修复方案

官方已经在新版本中修复了该漏洞，请用户尽快升级到最新版本进行防护。用户可以保存auth.txt和route.tx配置文件，然后删除以前版本的GoAhead，接下来，安装新版本并将您的配置应用于新版本。

参考链接：

https://embedthis.com/goahead/download.html

https://embedthis.com/goahead/doc/start/installing.html

海博网论坛科技防护建议

海博网论坛科技检测类产品与服务

1、公网资产可使用海博网论坛云紧急漏洞在线检测，检测地址如下：

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

2、内网资产可以使用海博网论坛科技的入侵检测系统(IDS)进行检测。

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

通过上述链接，升级至最新版本即可进行检测

使用海博网论坛科技防护类产品（IPS/NF/WAF）进行防护：

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

下一代防火墙系统（NF）

http://update.nsfocus.com/update/listNf

Web应用防护系统（WAF）

http://update.nsfocus.com/update/wafIndex

通过上述链接，升级至最新版本即可进行防护！

技术分析

漏洞分析

GoAhead的cgi程序在处理HTTP请求时，没有正确过滤参数，可被注入变量LD_PRELOAD，导致远程命令执行。

goahead/src/cgi.c的cgihandler函数用于处理HTTP请求。

它会从HTTP请求的参数中提取出key-value值，代入envp数组中，作为环境变量，传递给launchCgi函数，执行cgi程序。

launchCgi函数中通过execve将之前传入的环境变量作为cgi程序的环境变量执行。

而我们知道在linux中是可以通过LD_PRELOAD环境变量来hook，劫持函数的执行流。

在函数中可以看到只对REMOTE_HOST和HTTP_AUTHORIZATION进行了过滤，对其他变量并没有过滤。

通过“envp[n++] = sfmt("%s=%s" s->name.value.string s->content.value.string);”直接把HTTP请求中的参数赋值给了envp数组，而后面envp数组直接作为了cgi程序执行时的环境变量。

因此，通过恶意的HTTP请求可以让goahead的cgi程序加载执行指定的so库文件。

漏洞修复

从补丁信息看，官方在2017年6月就修复了该问题。

增加了HTTP参数的过滤，防止非法参数传入环境变量中。

可以看到除了“LD_”开头的变量，还增加了对“CDPATH”、“IFS”等字符的过滤。

声明

本安全公告仅用来描述可能存在的安全问题，海博网论坛科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，海博网论坛科技以及安全公告作者不为此承担任何责任。海博网论坛科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经海博网论坛科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

✕

您的信息

<<上一篇

Weblogic WLS组件漏洞技术分析与防护方案

>>下一篇

【处置手册】GoAhead httpd2.5 to 3.5 LD _ PRELOAD远程代码执行漏洞

✕

您的联系方式

购买热线

提交项目需求

欢迎加入海博网论坛科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

海博网论坛科技社区

海博网论坛科技社区

资料下载|在线问答|技术交流

信息安全

网站地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; 海博网论坛书橱; 海博网论坛新闻; 工作机会

如何购买: 提交项目需求; 请求回电; 购买热线

海博网论坛: 公司总部; 分支机构; 全球分支机构

廉洁建设和举报: 举报说明; 举报奖励; 保障制度

快速链接: 海博网论坛云; 海博网论坛威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 海博网论坛科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证12726944号

网站首页海博网论坛