image

Apache waarschuwt voor onvolledige update en komt met nieuwe fix voor lek

vrijdag 8 oktober 2021, 12:29 door Redactie, 22 reacties

De Apache Software Foundation waarschuwt beheerders van webservers voor een onvolledige beveiligingsupdate en heeft een nieuwe fix uitgerold. Apache kwam op 4 oktober met een patch voor een kwetsbaarheid in Apache versie 2.4.49, aangeduid als CVE-2021-41773. Het ging om een zerodaylek, aangezien de kwetsbaarheid al voor het uitkomen van de update actief werd misbruikt.

In eerste instantie werd gemeld dat via de kwetsbaarheid path traversal mogelijk is, waarmee een aanvaller toegang tot mappen en bestanden kan krijgen waar hij eigenlijk geen toegang toe zou moeten hebben. Wanneer "mod-cgi" staat ingeschakeld en de standaardoptie "require all denied" in de configuratie ontbreekt is ook remote code execution mogelijk, zo waarschuwden beveiligingsonderzoekers.

De problemen zouden met Apache versie 2.4.50 zijn verholpen, maar nu meldt de Apache Software Foundation dat de beveiligingsupdate onvolledig is en webservers nog steeds kwetsbaar voor path traversal en remote code execution zijn. Daarop is nu Apache HTTP Server versie 2.4.51 uitgebracht.

Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Securitybedrijf Rapid7 laat weten dat het zo'n 65.000 potentieel kwetsbare Apache-servers op internet heeft geïdentificeerd. Het kan echter zijn dat er meerdere Apache-servers op één ip-adres draaien, waardoor het aantal mogelijk hoger ligt.

Image

Reacties (22)
08-10-2021, 12:50 door CorChando
Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
08-10-2021, 13:11 door Anoniem
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...
08-10-2021, 14:13 door Anoniem
geen issue met SELinux aan en het berteft ook nog eens een dingetje waarbij er afgeweken moet worden van de defaults en voor een hele specifieke Apache versie. Vergelijk dat eens met de Printergate afhelopen maanden....
08-10-2021, 15:18 door CorChando
Printen? We leven niet meer in 1994 toch?
08-10-2021, 16:08 door Anoniem
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
hahahahahha - muhahahahahahahah halve internet draait op die hippie software. paar duizend domains in beheer. spagettie meuk. Succes met je windows iss, klik interface admins van tegenwoordig
08-10-2021, 17:02 door Anoniem
Wat me nou nog steeds niet duidelijk wordt is of dit probleem nou alleen in versie 2.4.49 zit of dat men daar mee bedoelt
"de recente versies t/m 2.4.49".
Het aantal beheerders wat slaafs de Apache versies volgt en dus op 2.4.49 zit zal toch niet heel erg groot zijn?
De meesten werken ongetwijfeld met een distributie en bijv de nieuwste Debian Bullseye (net uit) zit op 2.4.48.
(plus de security patches uiteraard, maar zou een security patch op 2.4.48 dit probleem dan ook in Debian geintroduceerd
hebben?)
08-10-2021, 17:32 door CorChando
Door Anoniem: Wat me nou nog steeds niet duidelijk wordt is of dit probleem nou alleen in versie 2.4.49 zit of dat men daar mee bedoelt
"de recente versies t/m 2.4.49".
Het aantal beheerders wat slaafs de Apache versies volgt en dus op 2.4.49 zit zal toch niet heel erg groot zijn?
De meesten werken ongetwijfeld met een distributie en bijv de nieuwste Debian Bullseye (net uit) zit op 2.4.48.
(plus de security patches uiteraard, maar zou een security patch op 2.4.48 dit probleem dan ook in Debian geintroduceerd
hebben?)
Dat is allang duidelijk en elke fatsoenlijke beheerder leest een CVE. Het betreft enkel versies 2.4.49 en 2.4.50.
08-10-2021, 19:34 door Anoniem
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
hahahahahha - muhahahahahahahah halve internet draait op die hippie software. paar duizend domains in beheer. spagettie meuk. Succes met je windows iss, klik interface admins van tegenwoordig
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
hahahahahha - muhahahahahahahah halve internet draait op die hippie software. paar duizend domains in beheer. spagettie meuk. Succes met je windows iss, klik interface admins van tegenwoordig

Je vergeet apple siri, netflix, uber etc etc. Het is echt niet alleen maar websites. Microsoft mist weer een boot, die van containers en micro services.
08-10-2021, 23:49 door Anoniem
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
Linux spaghetti noemen zonder onderbouwing zegt meer over jouw frustratie met een ander systeem. Dit is geen GGZ maar een security site. Laat de onderbouwing maar zien. Ik heb een voorkeur om het te vergelijken met een systeem wat steeds door ransomware onder vuur ligt. Misschien kan jij ons van nieuwe inzichten voorzien.
08-10-2021, 23:54 door Anoniem
Door Coritchando: Printen? We leven niet meer in 1994 toch?
De grootste IT problemen nu wordt veroorzaakt door malware op het windows besturingssysteem. De schade loopt inmiddels al in de miljarden. Een van de oorzaken daarvan is de default printspooler op een Microsoft windows AD server.
08-10-2021, 23:58 door Anoniem
De default require all denied uitzetten is heel dom. Zelfs de beheerders die apache onder windows (WAMP) draaien doen dat niet. Storm in een glas water.
09-10-2021, 11:45 door karma4
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
Linux spaghetti noemen zonder onderbouwing zegt meer over jouw frustratie met een ander systeem. Dit is geen GGZ maar een security site. Laat de onderbouwing maar zien. Ik heb een voorkeur om het te vergelijken met een systeem wat steeds door ransomware onder vuur ligt. Misschien kan jij ons van nieuwe inzichten voorzien.

Het is spaghetti code gabaseerd op iets van AT&T uit de jaren 60. Vele smaken zonder duidelijke architectuur of geheel.
VMS is geheel opnieuw opgebouwd. https://en.wikipedia.org/wiki/Dave_Cutler Je mist de achtergronden of toont verschijnselen van geheugenverlies. Harcoded wachtwoorden de standaard bij linux? Het iets wat de standaard lijkt.

Door Anoniem: De grootste IT problemen nu wordt veroorzaakt door malware op het windows besturingssysteem. De schade loopt inmiddels al in de miljarden. Een van de oorzaken daarvan is de default printspooler op een Microsoft windows AD server.
Veroorzaakt door open sources fanatici die SMB V1 van IBM perse willen blijven gebruiken wetende dat het lek is. Dat komt bij neerzetten van printers (en meer ) terug.
09-10-2021, 16:27 door _R0N_
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...

Dit is anders wat er altijd over Windows gezegd wordt..
Open of Closed, het maakt geen reet uit. Als software jaren mee gaat krijg je pleisters op gaten waardoor software een spaghetti van code wordt waarin ongeziene lekken kunnen ontstaan.

De Linux kernel is nu ouder dan de Windows kernel, de kans is groot dat er ergens een foute pleister los gaat laten.

En ja ik weet daar gaan weer een hoop mensen over vallen die denken het beter te weten.
10-10-2021, 12:34 door Anoniem
Door Coritchando:
Door Anoniem: Wat me nou nog steeds niet duidelijk wordt is of dit probleem nou alleen in versie 2.4.49 zit of dat men daar mee bedoelt
"de recente versies t/m 2.4.49".
Het aantal beheerders wat slaafs de Apache versies volgt en dus op 2.4.49 zit zal toch niet heel erg groot zijn?
De meesten werken ongetwijfeld met een distributie en bijv de nieuwste Debian Bullseye (net uit) zit op 2.4.48.
(plus de security patches uiteraard, maar zou een security patch op 2.4.48 dit probleem dan ook in Debian geintroduceerd
hebben?)
Dat is allang duidelijk en elke fatsoenlijke beheerder leest een CVE. Het betreft enkel versies 2.4.49 en 2.4.50.

Fijn dat je het zo goed weet, maar Debian komt dus wel mooi met een patch voor 2.4.38!
Dus ofwel het zat in meer versies ofwel het probleem wordt ook geintroduceerd door backported security fixes.
Voortaan gewoon normaal reageren op een vraag dus.
10-10-2021, 15:44 door Anoniem
dus apache is gelijk aan linux ,windowsgebruikers installeren dat niet zo veel dus ... de keuze voor linux zal wel ergens vandaan komen . Het lijkt mij ongepast kleine lekken met een gatenkaas te vergelijken , wp gebruikers onkennen ook het probleem van hus gebruikt systeem.
11-10-2021, 08:20 door [Account Verwijderd]
NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
11-10-2021, 09:27 door Anoniem
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...
IIS doet het inderdaad verdomde goed met security.

Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...
Windows is geen webserver....
11-10-2021, 09:41 door Anoniem
Door _R0N_:
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...

Dit is anders wat er altijd over Windows gezegd wordt..
Open of Closed, het maakt geen reet uit. Als software jaren mee gaat krijg je pleisters op gaten waardoor software een spaghetti van code wordt waarin ongeziene lekken kunnen ontstaan.

De Linux kernel is nu ouder dan de Windows kernel, de kans is groot dat er ergens een foute pleister los gaat laten.

En ja ik weet daar gaan weer een hoop mensen over vallen die denken het beter te weten.
Windows wordt spaghetti code genoemd omdat de GUI is verweven met de kernel. Als je de GUI wil verwijderen zal je windows opnieuw moeten installeren. In Linux is het met 1 commando te de-installeren. Een nogal groot verschil
11-10-2021, 11:20 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...

Dit is anders wat er altijd over Windows gezegd wordt..
Open of Closed, het maakt geen reet uit. Als software jaren mee gaat krijg je pleisters op gaten waardoor software een spaghetti van code wordt waarin ongeziene lekken kunnen ontstaan.

De Linux kernel is nu ouder dan de Windows kernel, de kans is groot dat er ergens een foute pleister los gaat laten.

En ja ik weet daar gaan weer een hoop mensen over vallen die denken het beter te weten.
Windows wordt spaghetti code genoemd omdat de GUI is verweven met de kernel. Als je de GUI wil verwijderen zal je windows opnieuw moeten installeren. In Linux is het met 1 commando te de-installeren. Een nogal groot verschil
Hoe veel normale gebruikers wisselen zo vaak van een GUI?
11-10-2021, 16:57 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...

Dit is anders wat er altijd over Windows gezegd wordt..
Open of Closed, het maakt geen reet uit. Als software jaren mee gaat krijg je pleisters op gaten waardoor software een spaghetti van code wordt waarin ongeziene lekken kunnen ontstaan.

De Linux kernel is nu ouder dan de Windows kernel, de kans is groot dat er ergens een foute pleister los gaat laten.

En ja ik weet daar gaan weer een hoop mensen over vallen die denken het beter te weten.
Windows wordt spaghetti code genoemd omdat de GUI is verweven met de kernel. Als je de GUI wil verwijderen zal je windows opnieuw moeten installeren. In Linux is het met 1 commando te de-installeren. Een nogal groot verschil
Hoe veel normale gebruikers wisselen zo vaak van een GUI?

Daar gaat het natuurlijk helemaal niet om! Het punt is dat Linux een fatsoenlijke scheiding van de verschillende onderdelen van het besturingssysteem heeft, zodat je bij problemen of aanpassingen van het ene deel er niet iets anders omvalt in een objectief bezien totaal niet gerelateerd deel. Bij Microsoft Windows is de GUI verspaghetticoded met de rest van het besturingssysteem, zodat je bij patches ziet dat er van alles in heel andere functionaliteit omvalt. Het is gewoon, objectief bezien, totale, schandelijke bagger en de gebruiker is daar de dupe van!
11-10-2021, 22:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...
IIS doet het inderdaad verdomde goed met security.

Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...
Windows is geen webserver....
Linux ook niet
11-10-2021, 22:14 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Anoniem:
Door _R0N_:
Door Anoniem:
Door Coritchando: Opensource meuk, draaiend op de spaghetti wat Linux heet. Dat kan niet anders dan fout gaan.
ja want windows heeft nooit lekken...

Dit is anders wat er altijd over Windows gezegd wordt..
Open of Closed, het maakt geen reet uit. Als software jaren mee gaat krijg je pleisters op gaten waardoor software een spaghetti van code wordt waarin ongeziene lekken kunnen ontstaan.

De Linux kernel is nu ouder dan de Windows kernel, de kans is groot dat er ergens een foute pleister los gaat laten.

En ja ik weet daar gaan weer een hoop mensen over vallen die denken het beter te weten.
Windows wordt spaghetti code genoemd omdat de GUI is verweven met de kernel. Als je de GUI wil verwijderen zal je windows opnieuw moeten installeren. In Linux is het met 1 commando te de-installeren. Een nogal groot verschil
Hoe veel normale gebruikers wisselen zo vaak van een GUI?

Daar gaat het natuurlijk helemaal niet om! Het punt is dat Linux een fatsoenlijke scheiding van de verschillende onderdelen van het besturingssysteem heeft, zodat je bij problemen of aanpassingen van het ene deel er niet iets anders omvalt in een objectief bezien totaal niet gerelateerd deel. Bij Microsoft Windows is de GUI verspaghetticoded met de rest van het besturingssysteem, zodat je bij patches ziet dat er van alles in heel andere functionaliteit omvalt. Het is gewoon, objectief bezien, totale, schandelijke bagger en de gebruiker is daar de dupe van!
Vechten tegen de bierkaai. Dat willen ze niet horen. Zelfde mensen die vroeger windows elk half jaar opnieuw installeerden omdat het zo traag was geworden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.