Nieuws
image

Groot aantal webservers draait kwetsbare Apache-versie

zaterdag 8 februari 2014, 06:50 door Redactie, 8 reacties

Een groot aantal webservers draait een kwetsbare of niet meer ondersteunde versie van de Apache-webserversoftware. Apache is het populairste platform voor webservers en wordt gebruikt voor het hosten van miljoenen websites, waaronder 54% van de miljoen meest bezochte sites op het web.

Kwetsbaarheden in Apache maken het mogelijk om de webserver aan te vallen en bijvoorbeeld kwaadaardige code op de gehoste websites te injecteren, die vervolgens bezoekers met malware probeert te infecteren. Internetbedrijf Netcraft onderzocht welke Apache-versies allemaal gebruikt worden.

Minder dan 1% van de onderzochte Apache-webservers draaide de 2.4 branch. Dit is de meest recente versie en wordt door de Apache Software Foundation aangeraden. Nu zijn de cijfers van Netcraft niet helemaal volledig, omdat iets meer dan de helft van de websites op Apache-webservers niet vertelt welke versie ze gebruiken.

Bij de websites die dat wel doen wordt al gauw duidelijk dat er nog miljoenen websites zijn die een verouderde en niet meer ondersteunde versie gebruiken. Vorig jaar juli stopte de ondersteuning van de Apache 2.0 branch, waarvan Apache 2.0.65 de laatste versie was. Toch zijn er nog 6,5 miljoen websites die op de 2.0 branch draaien en dan voornamelijk versie 2.0.63 en 2.0.52.

Verder blijkt dat nog zo'n 6 miljoen websites Apache 1.3.x gebruiken, ook al verscheen de laatste versie van deze branch vier jaar geleden. Het gaat hier om Apache 1.3.42, die in februari 2010 uitkwam. De meest bezochte website die deze versie nog gebruikt is de mobiele versie van Weather Underground. Volgens Alexa staat deze site op de 177ste plek van meest bezochte websites op internet.

Het feit dat er met kwetsbare Apache-versienummers wordt gewerkt wil nog niet meteen zeggen dat de servers of gehoste websites gehackt kunnen worden. Bepaalde Apache-lekken zijn te verhelpen door de kwetsbare modules te verwijderen of niet te gebruiken. Daarnaast ondersteunt bijvoorbeeld Red Hat Linux 'backporting', waarbij gevonden kwetsbaarheden worden gepatcht zonder dat het versienummer wordt aangepast.

Image

Reacties (8)
08-02-2014, 12:35 door [Account Verwijderd] - Bijgewerkt: 08-02-2014, 12:37
[Verwijderd]
08-02-2014, 12:35 door [Account Verwijderd] - Bijgewerkt: 08-02-2014, 12:36
[Verwijderd]
08-02-2014, 13:27 door wica128
En dan te bedenken, dat je in apache de version string kan uitzetten. Juist om te voorkomen dat je dit soort info lekt.
08-02-2014, 13:47 door Anoniem
Maakt dit uit dan? De nieuwste versie is nog steeds slowloris-exploitable
08-02-2014, 21:51 door Anoniem
Diegenen die niet terugmelden welke versie ze gebruiken, zijn zich blijkbaar bewuster van veiligheidsrisico's. Bij die groep is het dus ook waarschijnlijker dat ze een ondersteunde versie draaien.
Maar goed, bij 50% (die de versie wel laat zien) is het dus best wel slecht gesteld...
09-02-2014, 23:47 door lucb1e - Bijgewerkt: 09-02-2014, 23:48
Door wica128: En dan te bedenken, dat je in apache de version string kan uitzetten. Juist om te voorkomen dat je dit soort info lekt.
Het verwijderen van de versie string maakt het niet al te veel veiliger. Als er vandaag iemand is die een zero-day probeert te misbruiken en zo snel mogelijk zo veel mogelijk servers wil scannen, dan is er morgen wel iemand die er iets dieper op in gaat en gewoon de exploit op alle servers probeert uit te voeren die de versie string verbergen.
11-02-2014, 12:41 door Anoniem
Door Anoniem: Diegenen die niet terugmelden welke versie ze gebruiken, zijn zich blijkbaar bewuster van veiligheidsrisico's. Bij die groep is het dus ook waarschijnlijker dat ze een ondersteunde versie draaien.
Maar goed, bij 50% (die de versie wel laat zien) is het dus best wel slecht gesteld...

Oneens. Dit is security by oscurity hetgeen schijnveiligheid oproept. Als er een exploit is voor een van de versies gaat een bot echt de string niet checken welke versie er gedraaid wordt. Die probeert het gewoon en zit wel of het lukt.

Ik weet zeker dat deze Apaches uit de standaard Linux distro's komen die nimmer worden geüpdate, omdat de sysadmin gewoon niet weet hoe dat moet. En die distro's lopen bij release al zo akelig achter.

Voorbeeld: Apache 2.2.26 is 18/11/2013 gereleased en zelfs de Debian package (toch niet de kleinste jongen) zit nog steeds op 2.2.22! 2.4 wordt nog niet eens geleverd als package.

Voor mij de reden geweest alles te migreren naar FreeBSD en Nginx.
11-02-2014, 17:57 door Anoniem
Door Anoniem:Oneens. Dit is security by oscurity hetgeen schijnveiligheid oproept. Als er een exploit is voor een van de versies gaat een bot echt de string niet checken welke versie er gedraaid wordt. Die probeert het gewoon en zit wel of het lukt.
Het is pas security by obscurity als je de versiestring uitchakelt in plaats van je systeem up-to-date te houden. Als je gewoon up-to-date bent verminder je de veiligheid van je systeem echt niet door een versie niet aan de buitenwereld te tonen. Het voegt vermoedelijk weinig of niets toe, maar kwaad kan het ook niet.

Voorbeeld: Apache 2.2.26 is 18/11/2013 gereleased en zelfs de Debian package (toch niet de kleinste jongen) zit nog steeds op 2.2.22! 2.4 wordt nog niet eens geleverd als package.
Niet in stable, wel in testing en unstable. Je hebt kennelijk hun werkwijze niet goed begrepen. De recentst door Apache uitgebrachte security-patches voor 2.2 zitten in 2.2.25, maar dezelfde patches heeft Debian in 2.2.22 aangebracht (2.2.22-13+deb7u1 om precies te zijn). Qua security zijn ze volledig up-to-date.

Het punt van Debian stable is dat het zo stabiel is als ze het maar krijgen kunnen. Die stabiliteit omvat nadrukkelijk ook dat software niet anders gaat werken tot er een nieuwe Debian-versie wordt uitgebracht. Voor beheer is dat heel prettig: je hebt pas met incompabiliteiten tussen software-versies te maken als je zelf kiest om over te stappen naar de volgende versie. Debian zit op een wat oudere versie van Apache omdat ze geen functionele wijzigingen willen doorvoeren binnen een stabiele Debian-versie, maar qua security zijn ze up-to-date.

En het is dankzij die werkwijze dat ze niet de kleinste jongen zijn. Er wordt beweerd dat Debian unstable qua stabiliteit vergelijkbaar is met wat menige andere distro als stabiel beschouwt, en stable gaat een heel stuk verder.
Voor mij de reden geweest alles te migreren naar FreeBSD en Nginx.
Mijn zegen heb je, maar als je dat deed om qua security-patches bij te zijn heb je je zorgen gemaakt om niets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search