image

Ernstig lek in Apache webserver gedicht

vrijdag 31 mei 2013, 10:18 door Redactie, 7 reacties

Een ernstig beveiligingslek in de populaire Apache HTTP server maakt het voor aanvallers mogelijk om op afstand de machine over te nemen. De Apache webserver is met een marktaandeel van zo'n 55% het populairste platform voor het hosten van websites. Een probleem in een functie van Apache 2.2.x ging niet goed om met bepaalde input als er naar het logbestand werd geschreven.

Dit kan via een speciaal HTTP request worden misbruikt, waarna een aanvaller willekeurige code op de server kan uitvoeren. Het probleem werd zes weken geleden in versie 2.2.24 gerapporteerd en is nu middels versie 2.2.25 gepatcht.

Reacties (7)
31-05-2013, 10:38 door Anoniem
Dit is ook nog wel interessant want dat maakt het wel iets minder aannemelijk dat een aanvaller de server overneemt:
Successful exploitation of this vulnerability may allow execution of arbitrary commands but requires the user to view the log file in a terminal emulator.
31-05-2013, 10:43 door Anoniem
Nou.... ernstig... aanvaller kan code uitvoeren... dat vind ik wel wat overdreven.

Er kan bagger in de log geschreven worden en als je die log bekijkt met een slecht terminal programma dan kan dat
terminal programma rare dingen gaan doen vanuit het account van degene die dat programma draait.

Dit zal meestal niet op het systeem zijn waar de webserver op draait, en het zal meestal ook niet als beheerder zijn.
Dus "de machine overnemen", nou nee.
En "code op de server uitvoeren", ook nie.
31-05-2013, 10:48 door 0101
Het probleem is niet aanwezig in de 2.4.x versie van Apache.

Het probleem bestaat in de mod_rewrite module, waarmee URL's kunnen worden herschreven. Afgaande op de patch kan de bug alleen misbruikt worden als het loggen van herschreven URL's is ingeschakeld, wat normaal gesproken niet het geval is omdat het een te zware belasting vormt voor productieomgevingen.
31-05-2013, 11:05 door rob
"Successful exploitation of this vulnerability may allow execution of arbitrary commands but requires the user to view the log file in a terminal emulator." - maak het niet spannender dan het is...
31-05-2013, 11:12 door SphaZ
Redhat zelf heeft het over prioriteit: moderate (https://rhn.redhat.com/errata/RHSA-2013-0815.html)

Je moet het RewriteLog commando gebruiken voordat het een issue zou kunnen zijn, valt allemaal dus best wel mee.
31-05-2013, 13:45 door lucb1e
Door 0101: Het probleem is niet aanwezig in de 2.4.x versie van Apache.
Bedankt voor de info, daar was ik naar op zoek.
31-05-2013, 21:11 door linuxpro
Los van Apache, gaat goed met nginx ;-) overigens heeft die een hoop voor op Apache. Hebben nu aantal klanten overgezet met verassend goede resultaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.