Apache lek, nog geen patch beschikbaar
Op diverse mailinglists wordt melding gemaakt van het feit dat de veelgebruikte webserver software Apache tot en met versie 1.3.24 een beveiligingsfout bevat. Het lek werd bekend gemaakt door het beveiligingsbedrijf Internet Security Systems, na deze onthulling kreeg ISS direct de wind van voren van veel collega experts omdat zij Apache niet de kans hebben gegeven met een oplossing van het lek te komen. Doordat vooral de Windows versie kwetsbaar is voor de fout, lopen webservers die met deze versie van Apache draaien kans op korte termijn gekraakt te worden. Systeembeheerders wordt aangeraden de website van Apache in de gaten te houden en zo snel mogelijk te upgraden als 1.3.25 ter download wordt aangeboden. Zie ook de waarschuwing van Apache.
overflow on 32-bit Unix platforms this will cause a segmentation violation
and the child will terminate. However on 64-bit platforms the overflow
can be controlled and so for platforms that store return addresses on the
stack it is likely that it is further exploitable. This could allow
arbitrary code to be run on the server as the user the Apache children are
set to run as.
Nou nou hoeveel mensen zullen hier last van hebben. Blazen jullie het nieuws altijd zo op ?
Nou nou hoeveel mensen zullen hier last van hebben. Blazen jullie het nieuws altijd zo op ?
Alle GROTE sites, die wellicht EEN ROL van betekenis spelen in E-COMMERCE, E-Bussines en andere E-nonsens waar je een E voor kan zetten draaien op PLATFORMEN die WEL 64 Bits zijn....
Zoals SUN, HP-UX etc...
vulnerability.
Pierpanda.
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
:) Neem gewoon een onbekende webserver, zoals AkamaiWeb of iets dergelijks. Niemand die daar ooit een keertje echt naar gaat koekeloeren :))
Zou er een scriptkiddy sneller zijn dan de d00dz bij Apache ?
En als ISS de 'patch' miskleunt, hoe groot is dan de kans dat dezelfde kiddy het in een keer goed heeft (voor de patch er is) ?
Baaaahhhh..
http_protocol.c is gepatched in de CVS van OpenBSD.
Grtz,
-IRD-
"1.3.25 and 2.0.39 have been tagged in CVS and will be released in the morning (US eastern time). "
Zou er een scriptkiddy sneller zijn dan de d00dz bij Apache ?
En als ISS de 'patch' miskleunt, hoe groot is dan de kans dat dezelfde kiddy het in een keer goed heeft (voor de patch er is) ?
Baaaahhhh..
:) Laat die Kiddies eerst maar eens uitzoeken wat met een 'Site Banner' wordt bedoeld: de meesten kunnen nog geen kiezel van een schnitzel onderscheiden, laat staan dat ze deze vulnerability zouden kunnen gebruiken in de tijd voordat er een patch beschikbaar zou zijn.
Gelukkig zijn dit soort aangelegenheden een _zeldzaamheid_ bij Apache. Het is geen zwitserse gatenkaas zoals MS Internet Information Server (IIS).
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Waren ze NIET opeens GOLDENPARTNER van M$ net zoals een paar andere Security Bedrijfjes?
En in dat geval komt het M$ zeker niet uit als er opeens vanaf volgende week -in weekenden worden veel exploits gecode- er heel veel Apache backen uitmaken van security incidenten.
Iets wat in volgende marketing campagne ondersteund met grafieken uiteraard in het voordeel van M$ uitpakt....
Iets wat in volgende marketing campagne ondersteund met grafieken uiteraard in het voordeel van M$ uitpakt....
Jawel, maar weten wij niet met zijn allen beter?
<snip>
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Zeer correct. Zelf CERT hanteert deze methode. De auteurs van de software krijgen eerst zelf de kans om een verbeterde versie dan wel een patch uit te brengen, alvorens het grote publiek die kans krijgt. En het grote publiek is degene die niet te vertrouwen is.
Nou weet ik ook wel dat M$ niet de maker van Apache is, maar toch is die software op een heel groot aantal plaatsen op het Windows platform geinstalleerd. Aangezien die mensen vaak niet in staat zijn om zelf in de broncode van een programma te gaan neuzen, zijn ze afhankelijk van anderen om verbetering in de software aan te brengen en misschien dat Microsoft hier wel een rol in kan spelen.
Zoals ik al eerder zei, zeer correcte manier van handelen, applaus!
Erm, dat is nou NET wat ISS heeft NAGELATEN...
Van de Apache site:
"We were also notified today by ISS that they had published the same issue which has forced the early release of this advisory."
Ja, dat doen ze met M$ vulnerabilities ook ?
Ik ruik een troll..
De grote grap is nu net dat mensen die niet in staat zijn om zelf in hun broncode te neuzen dat aan ~iedereen~ zouden kunnen vragen. Voorbeeld: Win32 binaries zijn nog niet uit, maar je hebt maar 1 'geek' nodig om 'm te compileren, terwijl je bij Apache moet wachten tot volgende dag, en bij microsoft to volgende SP of ueber-patch..
Dat heet Open Source :-) En microsoft heeft al talloze malen aangegeven dat ze daar niet zo dol op zijn..
Maar eigenlijk geloof ik niet dat ik je post serieus moet nemen, iemand die ~serieus~ oppert dat MickeySoft deel ~kan~ nemen aan een OS-product als Apache heeft niet opgelet :-)
Hoe zit dat eigenlijk op het *nix/linux platform, met apache, php, sendmail, bind? Kan je daarvan zeggen dat er sneller gepatched wordt? Zullen er over 3 jaar nog steeds veel servers gehackt worden via dit soort holes? (a la unicode attack bij IIS, nog steeds een succesnummer)
Iemand gegevens hierover? Links/artikelen?
Als ~echt~ hommeles dan is dat toch wel een van de eerste sites waar je moet zijn..
na cert.org, online.securityfocus.com, packetstormsecurity.packetstorm.org, en slashdot.org en vele vele anderen zoals http://www.theregister.co.uk/, http://www.guninski.com/, http://www.heise.de/,www.net-security.org/, vmyths.com, grcsucks.com/ en de onnavolgbare http://www.attrition.org/
Als je van daar uit geen relevante info vindt is het net zojuist ontploft :-)
have a nice beer..
Jawel, maar weten wij niet met zijn allen beter?
Tuurlijk niet, net als Wim Kok vertrouwen wij Bill Gates blind.
He is the man!
Tuurlijk niet, net als Wim Kok vertrouwen wij Bill Gates blind.
He is the man!
Moeten we dan maar BLIND op Linus en co vertrouwen?
Moeten we dan maar BLIND op Linus en co vertrouwen?
De essentie van security is dat men juist geen blind vertrouwen koesterd en men repeterend zaken controleert op juistheid.
Een 100% garantie is op dat vlak nimmer te geven (wanneer je reeel bent) maar zolang je oplettend, analytisch en zaken up to date houdt komt dat zeer dicht in de buurt.
Een 'software-vendor' maakt het echter wel vrij bont, door zeer opvallend frequente uitgifte van zeer critieke patches/updates ten opzichte van de op dat vlak rustiger opensource Linux/Unix markt.
Zonder een naam te noemen weet in princiepe vrijwel iedereen over wie je het hebt...
Blind vertrouwen is gevaarlijk, daarom is het fijn wanneer je de sources er zelf eens op na kunt lezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.