Symlink Race Condition Protection | Documentación de cPanel y WHM

Protección de condición de carrera de Symlink


Última modificación: 22 de septiembre de 2021

Visión general

Este documento explica cómo implementar la protección de condición de carrera de enlaces simbólicos en sistemas que ejecutan EasyApache 4.

WHM’s configuración global interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache >> Configuración global) le permite configurar varias opciones de Apache que residen en la raíz (/) directorio.

los SeguirSymlinks La opción expone a Apache a una vulnerabilidad de seguridad de enlace simbólico. Esta vulnerabilidad de enlace simbólico permite a un usuario malintencionado entregar archivos desde cualquier lugar de un servidor que los permisos estrictos a nivel del sistema operativo no protegen.

los SymLinksIfOwnerMatch La opción expone Apache a una condición de carrera a través de enlaces simbólicos. Esta vulnerabilidad permite que un usuario malintencionado cambie un enlace simbólico varias veces durante el intervalo entre el momento en que Apache comprueba la presencia de un archivo y lo crea. Esta acción permite al usuario malintencionado inyectar contenido malintencionado que se vincula a un archivo propiedad del usuario.

Para obtener más información sobre las carreras de enlaces simbólicos, lea Wikipedia Carrera de enlaces simbólicos artículo.

Formas de abordar la vulnerabilidad

Conjuntos de parches KernelCare

Nota:

  • Nosotros solamente ofrecen estas opciones para sistemas que se ejecutan en núcleos CentOS 6, 7 u 8 o AlmaLinux OS 8.
  • Para obtener más información sobre KernelCare y sus opciones de protección de enlaces simbólicos, lea el Documentación de KernelCare.

KernelCare proporciona dos parches que ofrecen protección de enlace simbólico para sistemas que ejecutan núcleos CentOS, 7 u 8 o AlmaLinux OS 8:

  • Extra – Si compra e instala KernelCare, también puede instalar KernelCare «Extra» Patchset, que incluye KernelCare Symlink Protection.

  • Gratis – Si lo haces no instalar KernelCare, puede instalar el conjunto de parches gratuitos de KernelCare, que incluye la protección gratuita de enlaces simbólicos de KernelCare. Si instala el conjunto de parches gratuitos y luego compra e instala KernelCare, el conjunto de parches «adicional» reemplazará al conjunto de parches gratuitos.

Si instala cualquiera de las opciones, desactive la Protección de enlace simbólico opción en el configuración global sección de WHM Configuración de Apache interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache).

  • Ofrecemos ambas opciones a través de WHM Asesor de seguridad interfaz (WHM >> Inicio >> Centro de seguridad >> Asesor de seguridad).

  • Ambas opciones instalan KernelCare Client, que administra automáticamente las actualizaciones del software KernelCare.

jaulas

Nosotros fuertemente le recomendamos que utilice esta opción para solucionar la vulnerabilidad de la condición de carrera. Apoyamos esta opción en todos Plataformas cPanel y WHM que se ejecutan en CloudLinux ™. Si cambia su cagefs ajustes de configuración, usted debe ejecutar el cagefsctl --update comando para implementar estos cambios en su sistema.

Para obtener más información, lea el Documentación de CloudLinux.

Advertencia:

Si habilitas cagefs en un servidor que ejecuta CloudLinux, puede causar una vulnerabilidad de seguridad con enlaces simbólicos a archivos fuera del directorio enjaulado. Para resolver este problema, debe habilitar la protección transversal del enlace. Para obtener más información, lea CloudLinux’s Protección de enlace transversal documentación.

Parche del kernel de GRSec

El parche del kernel de GRSec proporciona una opción segura para abordar la vulnerabilidad de la condición de carrera. Este parche proporciona protección a nivel de kernel contra condiciones de carrera. Sin embargo, para usarlo, debe utilice un kernel personalizado, que requiere instalación y mantenimiento adicionales.

Para obtener más información, lea el Prevenir el ataque de enlace simbólico información sobre el foros de grsecurity.

CloudLinux SecureLinks proporciona una opción segura para abordar la vulnerabilidad de la condición de carrera. Esta opción evita los ataques de enlaces simbólicos a nivel del kernel. CloudLinux instala esta opción de forma predeterminada, pero no afecta a los hosts virtuales que no especifican una ID de usuario.

Para obtener más información, lea el Documentación de CloudLinux.

El parche Bluehost con modificaciones de cPanel

Importante:

Le recomendamos que utilice este parche solo si no poder implementar cualquiera de las otras opciones. Los usuarios malintencionados podrían eludir este parche.

cPanel & WHM solo proporciona Parche proporcionado por Bluehost.com con algunas modificaciones. Proporcionamos este parche con EasyApache 4, pero lo hace no brindan una protección tan confiable como las soluciones a nivel de kernel o de sistema de archivos. Este parche puede ralentizar el rendimiento de los servidores de alto tráfico y es no compatible con las aplicaciones Mailman o CGI Center.

Sobre el parche Bluehost

El parche Bluehost mejora la capacidad de Apache para detectar una condición de carrera. El parche Bluehost modifica Apache y la biblioteca Apache Portable Runtime (APR) para que Apache no pueda acceder a ciertos archivos. El parche ayuda a garantizar que el sistema pueda solamente acceder a los archivos que posee el propietario del dominio. Sin embargo, el parche Bluehost solamente afecta las solicitudes de archivos estáticos como .html y archivos de imagen. El parche Bluehost lo hace no afectar las solicitudes que el sistema procesa con los controladores de contenido de la aplicación, como el mod_php, mod_ruid2, mod_cgi, y mod_suphp Módulos de Apache.

Si su sistema no maneja solicitudes por usuario, entonces el sistema atiende las solicitudes como el nobody usuario. Cuando una aplicación crea archivos que nobody el usuario es propietario, el propietario del archivo no coincidir con el propietario del dominio. Debido a que el parche evita el acceso a contenido estático que no coincide con el propietario, el usuario no poder ver estos archivos.

Para utilizar el parche de protección de enlace simbólico, seleccione Sobre Para el Protección de enlace simbólico opción en el configuración global sección de WHM Configuración de Apache interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache >> configuración global).

Nota:

Esta opción solamente aparece en la interfaz de usuario en sistemas que ejecutan cPanel & WHM versión 62 o superior. Si usa una versión diferente de cPanel & WHM, debe habilite el parche manualmente.

Para habilitar el parche manualmente, configure las siguientes directivas:

1
2
SymlinkProtect On|Off
SymlinkProtectRoot /var/www/html

Advertencia:

  • EasyApache 4 hace no aplicar este parche por defecto.
  • Este parche puede ralentizar el rendimiento de los servidores de alto tráfico.
  • Si ya usa un parche personalizado para la condición de carrera (como el FollowSymLinks_to_OwnerMatch.patch), usted debe elimine su parche personalizado o no habilite el Protección de enlace simbólico opción.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *