image

Onderzoeker vindt zo'n 1000 coredumps op webservers

zaterdag 17 juni 2017, 06:27 door Redactie, 7 reacties

De Duitse beveiligingsonderzoeker Hanno Bock waarschuwt beheerders, webmasters en organisaties voor coredumps die na een crash op webservers kunnen achterblijven, aangezien deze bestanden allerlei vertrouwelijke informatie zoals wachtwoorden kunnen bevatten.

Via een coredump is het mogelijk om crashende software te analyseren. Als een programma crasht vanwege een geheugenprobleem zal het besturingssysteem de huidige inhoud van het geheugen van de applicatie in een bestand genaamd 'core' opslaan. Dit is handig voor testdoeleinden, maar brengt ook een veiligheidsrisico met zich mee omdat de coredump gevoelige informatie kan prijsgeven. Als een webapplicatie crasht zal de coredump in de root van de webserver worden opgeslagen.

Aangezien de naam van het bestand bekend is, kan een aanvaller eenvoudig op de aanwezigheid van een dergelijk bestand controleren. Bock besloot de 1 miljoen populairste websites op internet langs te gaan en ontdekte bij duizend hosts een coredump. De onderzoeker waarschuwde de eigenaren, maar kreeg vaak een reactie terug dat het bedrijf in kwestie niet de eigenaar van de host was, maar dat het om een klant van hen ging.

"Mijn scans laten zien dat dit een relatief veelvoorkomend probleem is", aldus Bock, die beheerders oproept om de instellingen aan te passen zodat er geen coredump met inhoud wordt aangemaakt. Daarnaast adviseert hij pentesters om op de aanwezigheid van coredumps te testen.

Reacties (7)
17-06-2017, 09:52 door Anoniem
kreeg vaak een reactie terug dat het bedrijf in kwestie niet de eigenaar van de host was, maar dat het om een klant van hen ging
Bij de eigenaar van de content zit niemand meer die weet wat een core dump is, want bedrijf X maakt de site en bedrijf Y host de boel. Uitbesteden is goedkoper omdat dan niemand meer verantwoordelijk is?
17-06-2017, 10:08 door Wim ten Brink
Ik vind het niet schokkend dat er zoveel core dumps te vinden zijn. Ik vind het echter wel schokkend dat coredumps gewoon via het Internet te vinden zijn! Een Core Dump zou net als andere systeembestanden gewoon onbereikbaar moeten zijn. Dat hij dus 1.000 core dumps vond betekent dus dat 1.000 bedrijven hun beveiliging niet op orde hadden omdat systeembestanden vrijelijk toegankelijk waren...
En dat is pas erg!
17-06-2017, 10:21 door Anoniem
Zijn er nog steeds systemen waar coredumps default enabled zijn dan? Ik dacht dat dit meestal toch wel uitgeschakeld
is en eerst met ulimit moet worden aangepast voor je een dump krijgt. En vaak is er ook wel een of andere daemon die
de core files ergens anders neerzet dan in de current directory.
(waar precies, daar is dan natuurlijk weer geen standaard voor, maar als het goed is staat die directory niet onder de
document root van de webserver)
17-06-2017, 12:02 door Anoniem
Niet echt een security probleem want dit is gewoon een feature. Dit soort berichten zegt iets over het niveau van systeembeheerders tegenwoordig.
17-06-2017, 18:30 door Anoniem
Duizend op de miljoen is relatief maar 0,1 %.
Het lijkt erop te duiden dat 1 op de duizend servers wel eens een probleem hebben gehad waarbij men dacht de coredump even aan te zetten als hulp om het probleem te vinden, en vervolgens vergeten zijn om de coredump te verwijderen?

Voor zover ik meen te weten zijn coredumps na installatie van software niet standaard enabled, dus dat moet men echt wel bewust hebben aangezet voor een bepaalde reden. De meest voor-de-hand liggende reden is dat het systeem lastige problemen had; maar misschien dat sommigen het ook hebben aangezet "voor het geval dat" het systeem crasht en ze dan alvast een coredump hebben om eventueel wat wijzer te worden.

Maar dus in ieder geval wel belangrijk om de dump te wissen nadat de boel is gefixt en weer opgestart.
18-06-2017, 12:31 door [Account Verwijderd]
[Verwijderd]
19-06-2017, 07:35 door Anoniem
Door Wim ten Brink: Ik vind het niet schokkend dat er zoveel core dumps te vinden zijn. Ik vind het echter wel schokkend dat coredumps gewoon via het Internet te vinden zijn! Een Core Dump zou net als andere systeembestanden gewoon onbereikbaar moeten zijn. Dat hij dus 1.000 core dumps vond betekent dus dat 1.000 bedrijven hun beveiliging niet op orde hadden omdat systeembestanden vrijelijk toegankelijk waren...
En dat is pas erg!

Precies, de coredumps zijn niet het probleem maar de toegang tot die coredumps.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.