Zdalny exploit dla Apache na Windowsie
- Dodano: 8 marca 2010
- Wprowadził: spy000yps
- Komentarze: 21
Spodobał Ci się ten nius? Zagłosuj, a być może znajdzie się na stronie głównej! Więcej w FAQ. Jeśli ten nius nie powinien znaleźć się na stronie głównej napisz raport dla administracji!
Firma Sense Of Security znalazła dziurę w ciągle dość popularnym serwerze Apache. Dziura pozwala na zdalne wykonanie dowolnego kodu na atakowanym serwerze z uprawnieniami dostępnymi dla serwera.
Opis podatności można znaleźć w SOS-10-002. Został również udostępniony kod eksploita demonstrujący działanie błędu. Błąd znajduje się w module mod_isapi, a podatne na niego są tylko wersje Apache uruchomione na systemie Windows.
Wszystkim użytkownikom Apache poleca się dokonanie w najbliższym czasie aktualizacji do wersji 2.2.15, która pozbawiona jest tego błędu.
Więcej informacji: http://www.senseofsecurity.com.au/adviso...SOS-10-002
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
21 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Co to znaczy "niestety ciągle dość popularnym"?
Najwolniejszy, najbardziej spasiony, najpopularniejszy otwarty serwer www -> apache.
Znam 3 lepsze rozwiązania które być może w niedługim czasie zmiotą apache z powierzchni ziemi.
To może wymień.
Wymieniłem, ale jakiś tere fere przeredagował newsa.
"Co to znaczy “niestety ciągle dość popularnym”?"
Chodzi o Windowsa, ciągle jest jeszcze dość popularny, niektórzy samobójcy nawet serwery na nim stawiają.
O której wersji Apache piszesz(która wersja jest podatna). Z treści artykułu wnioskuję, że niestety na wielu serwerach jest przestarzała i niełatana wersja tego programu(w co wątpię).
"lighttpd, nginx czy cherokee":Podałeś tutaj lekkie serwery WWW. Niestety, lecz sprawdzą się one tylko w niektórych zastosowaniach(takie jest ich przeznaczenie). Jednak zwyczajnemu Kowalskiemu zmiany serwera z Apache na jeden z wymienionych życzę, gdyż w zastosowaniach, w których można je użyć, prześcigają w szybkości Apache.
" której wersji Apache piszesz"
Podatne są wszystkie wersje przed 2.2.15 – to chyba oczywiste i wynika z tego co napisałem.
"Niestety, lecz sprawdzą się one tylko w niektórych zastosowaniach(takie jest ich przeznaczenie)"
Zanim coś napiszesz, to może sobie poczytaj o możliwościach tych serwerów a nie pi tol.
Siejesz tu propagandę mówiącą, że apache to jedyne uniwersalne rozwiązanie. Apache może jest uniwersalny, ale pod każdym innym względem jest najgorszym open sourceowym serwerem. Zapoznaj się z możliwościami innych httpd i nie siej propagandy, bo ten open sourceowy ciemnogród z osnews nadal będzie siedział w wigwamach
Nie napisałem, że Apache jest bardzo uniwersalny. Apache został przystosowany do obsługi PHP, a z obsługą innych języków radzi sobie słabo(oczywiście, że można użyć CGI/Fast CGI i innych technik). Natomiast Apache ma bardzo wiele modułów, np. do konwertowania dokumentów w locie, gdy mają zostać przesłane do przeglądarki.
Nikt normalny produkcyjnie nie używa mod_php, tylko fastcgi i suexec. A tutaj to i nginx czy lighty pójdą.
Choć osobiście wolę apache…
spy000yps: Jak podasz mi jak w normalny sposób użytkownicy mają używać plików .htaccess i za ich pomocą ustawiać hasła, dodawać index i takie tam, to z chęcią przerzucę się na lighttpd, na razie lighttpd może mi służyć tylko jako domowy mini serwer do plików …
Pitolisz to chyba Ty. Apache owszem jest dość przerośnięta kobyłą, ale nginxy, cherokee i inne lighttpd nie są rozwiązaniem wszystkich bolączek tego świata.
Samo fastcgi w porównaniu do mod_php nie wszystkich rzuca na kolana, a ilość specjalistycznych modułów do Apache'a też swoje robi.
Sam wciskam nginxa gdzie mogę, ale choćby brak obsługi .htaccess i swoja wariacja na temat mod_rewrite dość znacznie to utrudnia.
Zresztą po dziś dzień jakiegoś ludzkiego menedżera fcgi nie znalazłem. Chwilowo używam spawn-fcgi, ale przy konkretnym loadzie klęka to niemiłosiernie i mało co loguje utrudniając diagnozę.
Nie wiem w sumie co palisz, że musisz tak dojebać na wejściu Apache'owi. Gdyby nie on to pewnie całe WWW byłoby na dzień dzisiejszy w trochę innym miejscu niż jest.
pozdr,
fEnIo
siejesz FUD Kolego. Błąd jest w module mod_isapi, a podatne są _tylko_ wersje Windowsowe (więc jakby nie patrzeć, tematyki portalu nie dotyczą).
A że znacząca większość to Apache na różnej maści unix/linux-ach imo raczej mało znaczące odkrycie.
"więc jakby nie patrzeć, tematyki portalu nie dotyczą"
Tak, bo open source to tylko działa na linuksie. Na windowsach już nie jest open source.
W każdym razie, to nie wolne oprogramowanie.
Co to za wolne oprogramowanie, które pracuje pod nie wolnym jądrem.
A to jest portal o wolnym oprogramowaniu?
@Memphis news wisi na jakilinux przez tag open-source, więc nie wszyscy go czytają z osnwes.pl
Sławek: a linux, co to za wolne oprogramowanie które pracuje na procesorach z milionami patentów i bez dostępnych schematów by każdy mógł sobie stworzyć własnego core2duo?
> Błąd jest w module mod_isapi, a podatne są _tylko_ wersje Windowsowe (więc
> jakby nie patrzeć, tematyki portalu nie dotyczą)
Ta wersja tylko na Windows nadal jest FLOSS — czyli tematyka pasuje (mniemam, że piszesz w kontekście LN).
__
Co do „niestety ciągle dość popularnym”: „niestety” — jako komentarz — nie powinno się znaleźć w tekście informacyjnym.
Osobiście jakkolwiek się zgadzam, że w wielu zastosowaniach Apache wypada gorzej od konkurencji, jednak trzeba przyznać, że w przypadku serwerów dla wielu użytkowników ma dużą przewagę — możliwość konfiguracji za pomocą htaccess.
podejrzewam, że chodzi o to, że news jest na linuxnews. Powód jest taki, ze użyto tagu open-source
Był swego czasu taki dowcip. Apache na Windowsie jest jak Miriam: twarz może i ładna, ale kutas w majtkach…
„ciągle dość popularnym serwerze Apache”
Pomijając fakt, że Apache to najpopularniejszy serwer www, oraz że jego popularność nie spada, a wręcz rośnie, to piszesz obiektywnie…