When Apache or nginx serve static files, they follow symbolic links even if a link points to a file owned by another system user (for example, one corresponding to a different subscription). This allows an attacker with access to a subscription to read files from another subscription, including files containing passwords and settings for WordPress and other CMSes.

Mitigazione della vulnerabilità

Autorizzazioni del file system

Se stai usando WordPress Toolkit, il modo più semplice per mitigare la vulnerabilità per le tue istanze di WordPress è quello di usare il Toolkit:

  1. Vai al WordPress Toolkit.
  2. Seleziona tutte le istanze di WordPress e fai clic su Controlla la sicurezza.
  3. Verifica che «Autorizzazioni per file e directory» sia contrassegnato come OK.
  4. Se non lo è, fai clic su Proteggi.

Se non stai usando WordPress Toolkit o se hai bisogno di proteggere qualche CMS diverso da WordPress, devi correggere manualmente i permessi su tutti i file che vuoi proteggere negando tutti i permessi al gruppo «Altro» eseguendo il seguente comando:

chmod o-rwx <file_name>

Nota: Non esiste un elenco di file da proteggere adatto a tutte le applicazioni web o CMS. I file esatti i cui permessi devono essere modificati per proteggere un’applicazione web variano a seconda dell’applicazione in questione.

Configurazione Apache

Questo modo di mitigare la vulnerabilità è adatto per gli abbonamenti che utilizzano Apache come server web (un abbonamento utilizza Apache se la “Modalità proxy” è attiva in Hosting e DNS > Impostazioni Apache & Nginx).

Per mitigare la vulnerabilità, procedi come segue:

  1. Vai su Piani di servizio > il tuo piano > la scheda «Server Web» (o il tuo abbonamento > Siti web e Domini > Hosting e DNS > Impostazioni Apache e Nginx).
  2. Seleziona la casella di controllo “Limita la capacità di seguire link simbolici”.

Facendo ciò per un piano di servizio, si mitiga la vulnerabilità di tutti gli abbonamenti basati su quel piano di servizio (ossia, un autore di attacco che accede a un abbonamento non sarà in grado di effettuare attacchi contro altri abbonamenti). Facendo ciò per un abbonamento, si mitiga la vulnerabilità solo per quell’abbonamento.

Nota: Un sito web che utilizza collegamenti simbolici ai propri file continuerà a funzionare se non utilizza l’opzione «FollowSymLinks» nel file .htaccess, perché l’opzione «SymLinksIfOwnerMatch» è abilitata di default. Se un tale sito utilizza l’opzione «FollowSymLinks» nel file .htaccess, smetterà di funzionare.

Attenzione: L’applicazione di questa soluzione ti lascerà comunque vulnerabile a una condizione di race “time-of-check to time-of-use” relativa all’opzione «SymLinksIfOwnerMatch» dell’Apache. Per mitigare anche questa vulnerabilità, puoi applicare questa patch ad Apache (la patch non è stata testata da Plesk, applicala a tuo rischio e pericolo) o usa una delle opzioni di protezione di collegamenti simbolici basate sul kernel descritte più avanti in questo articolo.

Configurazione nginx

Questo modo di mitigare la vulnerabilità è adatto per gli abbonamenti che utilizzano nginx per servire direttamente i file statici (un abbonamento utilizza nginx se la “Modalità proxy” è disattiva o se la “Modalità proxy” è attiva e “Servire file statici direttamente da nginx” è attiva in Hosting e DNS > Impostazioni Apache & Nginx).

Per mitigare la vulnerabilità, procedi come segue:

  1. Vai su Piani di servizio > il tuo piano > Server Web (o il tuo abbonamento > Siti web e Domini > Hosting e DNS > Impostazioni Apache e Nginx).
  2. Seleziona la casella di controllo “Limita la capacità di seguire link simbolici”.

Facendo ciò per un piano di servizio, si mitiga la vulnerabilità di tutti gli abbonamenti basati su quel piano di servizio (ossia, un autore di attacco che accede a un abbonamento non sarà in grado di effettuare attacchi contro altri abbonamenti). Facendo ciò per un abbonamento, si mitiga la vulnerabilità solo per quell’abbonamento.

Nota: Questa opzione non è applicabile ai computer che eseguono il kernel Linux versione 2.6.39 o precedente (disponi di questa versione del kernel se stai eseguendo CentOS 6, Red Hat Enterprise Linux 6, o CloudLinux 6). Per mitigare la vulnerabilità su tali macchine, si consiglia di aggiornare il sistema operativo all’ultima versione stabile o di utilizzare uno dei meccanismi di protezione dei collegamenti simbolici basati sul kernel elencati di seguito.

SecureLinks in mod_hostinglimits per CloudLinux

Sui computer che eseguono CloudLinux, puoi mitigare la vulnerabilità abilitando il meccanismo di protezione della corrispondenza del proprietario del collegamento simbolico disponibile come parte del modulo HostingLimits per Apache. Fai riferimento alla documentazione di CloudLinux per maggiori informazioni.

KernelCare Symlink Protection patchset per CentOS 6 & 7 (gratuito)

Sui computer che eseguono CentOS 6 o CentOS 7, puoi mitigare la vulnerabilità installando il Symlink Protection Patchset gratuito disponibile da CloudLinux. Fai riferimento alla documentazione di CloudLinux per maggiori informazioni.

Grsecurity (un set di patch per il kernel Linux che enfatizza i miglioramenti della sicurezza, è richiesto un abbonamento a pagamento)

Se nessuna delle opzioni per mitigare la vulnerabilità di cui sopra è applicabile alla tua situazione, puoi installare il set di patch per il miglioramento della sicurezza grsecurity per il kernel Linux e poi configurare la funzionalità GRKERNSEC_SYMLINKOWN. Si noti che l’utilizzo di grsecurity non è gratuito e richiede l’acquisto di un abbonamento annuale.