neprihlásený Piatok, 15. decembra 2017, dnes má meniny Ivica   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Zákazníci webhostingov a webhostingové firmy pozor, cez Apache je možné kradnúť dáta

Značky: bezpečnosťInternet

DSL.sk, 20.9.2017


V populárnom webovom serveri Apache, ktorý je používaný na veľkej časti všetkých webov bežiacich na unixových serveroch, bola objavená relatívne vážna bezpečnostná chyba.

Chybu označenú Optionsbleed objavil Hanno Böck a ako už názov napovedá, ide povahou o podobnú chybu ako extrémne vážna chyba Heartbleed.

Podobne ako Heartbleed umožňuje útočníkom získavať dáta z pamäte procesu aplikácií používajúcich zraniteľné verzie knižnice OpenSSL, umožňuje Optionsbleed získavať obsah pamäte cez webový server Apache.

Hoci je chyba prítomná v každej verzii Apachu, zneužiť sa podľa informácií Böcka dá v len špecifickom štandardne málo častom prípade. Chyba sa totiž vyskytuje v implementácii konfiguračnej direktívy Limit a HTTP metódy OPTIONS a prejaví sa podľa Böcka len ak je v konfigurácii aktuálneho serveru použitá direktíva Limit s názvom HTTP metódy, ktorú server Apache nepozná.

Následne web server pri požiadavke s metódou OPTIONS v hlavičke Allow okrem podporovaných metód môže pre chybu typu použitia pamäte po uvoľnení poslať aj obsah kusu pamäte webového servera. V ňom sa teoreticky môžu nachádzať heslá iných užívateľov, kúsky stránok zobrazovaných iným užívateľom aj s dátami a podobne.

Direktíva Limit slúži na konfiguráciu ľubovoľných nastavení, ktoré platia iba pre vymenované HTTP metódy. Direktívou je možné napríklad nakonfigurovať, kto môže meniť dáta na serveri cez metódy PUT a DELETE. Bežne sa direktíva Limit a to navyše s nesprávnou HTTP metódou v konfigurácii nevyskytuje a chyba sa na väčšine serverov tak nedá zneužit.

Böck ju napríklad identifikoval len na 466 weboch z prvého milióna webov podľa Alexa.

Nebezpečenstvo ale chyba predstavuje v scenároch, kde môžu konfiguráciu webového servera ovplyvňovať viacerí a potenciálne nedôveryhodní užívatelia. To sa deje napríklad u webhostingových spoločností, ktoré využívajú jeden webový server na poskytovanie mnohých virtuálnych webov.

Hoci ich zákazníci väčšinou samozrejme nemajú možnosť priamo meniť hlavné konfiguračné súbory webového servera, konfiguráciu pre svoj virtuálny server môžu ovplyvňovať súbormi .htaccess umiestnenými skrátka v adresári ich servera. Prítomnosť nesprávnej Limit metódy umožní ale získavať časti celej pamäte Apachu a teda potenciálne aj dáta týkajúce sa ostatných virtuálnych serverov.

Naraz cez chybu uniká podľa Böcka relatívne málo dát, koľko nešpecifikuje. Bližšie analýzy čo všetko sa dá prakticky cez chybu získať zatiaľ chýbajú, zatiaľ tak treba považovať chybu v takomto nastavení za mimoriadne vážnu.

Böck v oznámení kritizuje komunikáciu s vývojármi Apachu, keď sa podľa neho s nimi nedal dohodnúť časový harmonogram zverejnenia chyby. Pre verziu 2.4 je v súčasnosti k dispozícii oficiálny patch, ktorý jednotlivé distribúcie zapracovali alebo zapracujú čoskoro. Pre verziu 2.2 je k dispozícii backportovaný patch, ktorý tiež predpokladane distribúcie zapracujú.

Oznámenie neponúka žiadne odporúčania ak opravená verzia zatiaľ nie je k dispozícii, jedným z riešení je zrejme ale globálne použitie konfiguračnej direktívy AllowMethods z modulu allowmethods s povolením len potrebných metód bez OPTIONS.

V diskusii k oznámeniu sa zároveň vyskytujú dve zaujímavé informácie. Problém bol zaregistrovaný prvýkrát minimálne v 2014, jeho príčina a bezpečnostné dôsledky vtedy si ale aspoň autor tohto zistenia nevšimol. Zároveň jeden z čitateľov tvrdí, že problém nasimuloval aj pri korektných parametroch direktívy Limit, čo by sa mierne odlišovalo od zistení Böcka a zatiaľ to nie je definitívne potvrdené.


      Zdieľaj na Twitteri



Najnovšie články:

Veľká televízia sa pokúsi o remake The IT Crowd
Polovica ľudí si myslí, že kontroluje smartfón príliš často, a chce to obmedziť
Notebook pod kilo so štvorjadrovým Intelom a výdržou 22.5 hodín
USA pod vedením Trumpa zrušili sieťovú neutralitu
Umelá inteligencia Google už hľadá aj planéty, zatiaľ našla dve
Rusi si v utorok na seba globálne presmerovali dátovú prevádzku posielanú najväčším IT firmám
Briti dokončili kúpu SK-NIC-u. Nové .sk domény nechávajú za 8.4 eur
DSL rozchodili cez mokrý špagát, dosiahli 3.5 Mbps. Nesimulovali slovenské linky?
Po 4 mesiacoch je Android 8.0 Oreo iba na 0.5% Androidov
Zverejnené desiatky kľúčov pre 4K Blu-ray filmy


Diskusia:
                               
 

Nginx FTW !
Odpovedať Známka: 7.0 Hodnotiť:
 

caddy server ftw :D
Odpovedať Známka: 3.3 Hodnotiť:
 

Kto vykopal vojnovu sekeru?
Odpovedať Známka: 0.0 Hodnotiť:
 

Je jasné že webový server napísaný v Ruste by toto všetko riešil. Trápne C! Rust for the win!
Odpovedať Známka: 0.0 Hodnotiť:
 

neviem co ti mumaci davaju minus, rust je odpovedou na kopu bugov sucasnosti. aj go sa da pouzit ale ak to niekto mysli s bezpecnostou vazne pouzije rust.
Odpovedať Známka: 3.3 Hodnotiť:
 

Lua FTW!
Odpovedať Známka: 6.0 Hodnotiť:
 

1. ak nevieš poriadne programovať tak je úplne jedno v čom budeš robiť, výsledok bude i tak nanič.
2. od určitej veľkosti sa bugom nevyhneš, aspoň kým budú programovať ľudia, omylné to bytosti.
Odpovedať Známka: 6.2 Hodnotiť:
 

Je to sice menej obmedzujuce ako ta metodologia s nezcudzolozis, ale poziadavky agile su priekazne ine.
Odpovedať Známka: 5.0 Hodnotiť:
 

Naco tieto modne vymysly ? Pascal/ObjectPascal/Delphi tu je desatrocia ;)
Odpovedať Hodnotiť:
 

Options je prva vec, ktoru na Apachi zakazujem. Ak ma niekto pouzitie, tak sa podelte.
Odpovedať Známka: 3.3 Hodnotiť:
 

napr. browsable APIs
Odpovedať Hodnotiť:
 

Napr ked potrebujem vytlacit dokument z PDA a som v obrovskom kancli, vtedy sa Options zide.
Odpovedať Známka: 7.3 Hodnotiť:
 

Hovori ti nieco CORS a preflight request ?
Odpovedať Hodnotiť:
 

A to je čo???
Odpovedať Hodnotiť:
 

Na každý deň ďalšia závažná zraniteľnosť. Super :)
Odpovedať Hodnotiť:
 

lepšie ako 100 tabletov zelenej otravy
Odpovedať Známka: 8.3 Hodnotiť:
 

Mam vlastny HTTP server a na Apache vam mozem z vysoka... OSS je plny bezpecnostnych dier a co je horsie zdrojaky su dostupne takze kazdy tie diery vidi a moze ich zneuzit.
Odpovedať Známka: -6.4 Hodnotiť:
 

NSA dakuje Richardovi Stallmanovi za sirenie Open Source rakoviny.
Odpovedať Známka: -8.2 Hodnotiť:
 

iny, ci uplne vlastny? Napisany od zakladu? V com, ak sa mzoem spytat?
Odpovedať Známka: 7.8 Hodnotiť:
 

určite to napísal priamo v strojovom kóde a napálené to má do ROMky, takže server bootuje priamo do jeho super bezpečného web serveru ...
Odpovedať Známka: 10.0 Hodnotiť:
 

No napriklad ja mam casti vlastneho http parsera napisane v x86 asm....
Odpovedať Hodnotiť:
 

Si zabil.Ja mam z casti vlastnu otazku http uzivatela napisanu v diskusii na dsl.sk, a sice ze kde, kde a kde je v clanku obrazok s logom zranitelnosti ktory sa zvacsi ked nan kliknem a mozem si potom teleportovat cez kvantovi satelyt kluce od velkeho kancelarskeho priestoru kde si pre to bud pridem po tom ako to cez wifi vytlacim, alebo v otocenom pripade detekugujem ze mi niekto ukradol tie kluce ked zistim ze neviem otvorit dvere? Samozrejme chcem tlacit s viziou neskorsej priekaznosti jeho vlastnictva (poprosim citat s porozumenim, tj. nechcem prekazat duchovne vlastnictvo predmetneho diela ale jeho fyzikalnu instanciu v podobe papiera).
Odpovedať Známka: 6.7 Hodnotiť:
 

Čo berieš a kde to zoženiem?
Odpovedať Známka: 10.0 Hodnotiť:
 

Vskutku znamenita ukazka citania s porozumenim. Blizsie informacie zistujeme.
Odpovedať Hodnotiť:
 

Dobry den, kde mate strojove koty? Chceli by sme sa na to posriet. Je produkt open-source? NASA
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár