Apache lek, nog geen patch beschikbaar
Op diverse mailinglists wordt melding gemaakt van het feit dat de veelgebruikte webserver software Apache tot en met versie 1.3.24 een beveiligingsfout bevat. Het lek werd bekend gemaakt door het beveiligingsbedrijf Internet Security Systems, na deze onthulling kreeg ISS direct de wind van voren van veel collega experts omdat zij Apache niet de kans hebben gegeven met een oplossing van het lek te komen. Doordat vooral de Windows versie kwetsbaar is voor de fout, lopen webservers die met deze versie van Apache draaien kans op korte termijn gekraakt te worden. Systeembeheerders wordt aangeraden de website van Apache in de gaten te houden en zo snel mogelijk te upgraden als 1.3.25 ter download wordt aangeboden. Zie ook de waarschuwing van Apache.
Reacties (22)
In Apache 1.3 the issue causes a stack overflow. Due to the nature of the
overflow on 32-bit Unix platforms this will cause a segmentation violation
and the child will terminate. However on 64-bit platforms the overflow
can be controlled and so for platforms that store return addresses on the
stack it is likely that it is further exploitable. This could allow
arbitrary code to be run on the server as the user the Apache children are
set to run as.
Nou nou hoeveel mensen zullen hier last van hebben. Blazen jullie het nieuws altijd zo op ?
overflow on 32-bit Unix platforms this will cause a segmentation violation
and the child will terminate. However on 64-bit platforms the overflow
can be controlled and so for platforms that store return addresses on the
stack it is likely that it is further exploitable. This could allow
arbitrary code to be run on the server as the user the Apache children are
set to run as.
Nou nou hoeveel mensen zullen hier last van hebben. Blazen jullie het nieuws altijd zo op ?
Originally posted by Unregistered
Nou nou hoeveel mensen zullen hier last van hebben. Blazen jullie het nieuws altijd zo op ?
Nou nou hoeveel mensen zullen hier last van hebben. Blazen jullie het nieuws altijd zo op ?
Alle GROTE sites, die wellicht EEN ROL van betekenis spelen in E-COMMERCE, E-Bussines en andere E-nonsens waar je een E voor kan zetten draaien op PLATFORMEN die WEL 64 Bits zijn....
Zoals SUN, HP-UX etc...
Please note that the patch provided by ISS does not correct this
vulnerability.
vulnerability.
Men moet nu toch eens leren, dat software zowiezo nooit helemaal waterdicht kan zijn. Het maakt echt niet uit welke je neemt, of die nou Apache, Windows, of JapJep heet. Degene die zo afgeven op de fouten in het besturingssysteem Windows, moeten wat minder hoog van de toren blazen...
Pierpanda.
Pierpanda.
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Originally posted by unregistered
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
:) Neem gewoon een onbekende webserver, zoals AkamaiWeb of iets dergelijks. Niemand die daar ooit een keertje echt naar gaat koekeloeren :))
"1.3.25 and 2.0.39 have been tagged in CVS and will be released in the morning (US eastern time). "
Zou er een scriptkiddy sneller zijn dan de d00dz bij Apache ?
En als ISS de 'patch' miskleunt, hoe groot is dan de kans dat dezelfde kiddy het in een keer goed heeft (voor de patch er is) ?
Baaaahhhh..
Zou er een scriptkiddy sneller zijn dan de d00dz bij Apache ?
En als ISS de 'patch' miskleunt, hoe groot is dan de kans dat dezelfde kiddy het in een keer goed heeft (voor de patch er is) ?
Baaaahhhh..
Overigens zijn er sinds gisteren meteen al een aantal patches uitgebracht voor Apache.
http_protocol.c is gepatched in de CVS van OpenBSD.
Grtz,
-IRD-
http_protocol.c is gepatched in de CVS van OpenBSD.
Grtz,
-IRD-
Originally posted by A.C.
"1.3.25 and 2.0.39 have been tagged in CVS and will be released in the morning (US eastern time). "
Zou er een scriptkiddy sneller zijn dan de d00dz bij Apache ?
En als ISS de 'patch' miskleunt, hoe groot is dan de kans dat dezelfde kiddy het in een keer goed heeft (voor de patch er is) ?
Baaaahhhh..
"1.3.25 and 2.0.39 have been tagged in CVS and will be released in the morning (US eastern time). "
Zou er een scriptkiddy sneller zijn dan de d00dz bij Apache ?
En als ISS de 'patch' miskleunt, hoe groot is dan de kans dat dezelfde kiddy het in een keer goed heeft (voor de patch er is) ?
Baaaahhhh..
:) Laat die Kiddies eerst maar eens uitzoeken wat met een 'Site Banner' wordt bedoeld: de meesten kunnen nog geen kiezel van een schnitzel onderscheiden, laat staan dat ze deze vulnerability zouden kunnen gebruiken in de tijd voordat er een patch beschikbaar zou zijn.
Gelukkig zijn dit soort aangelegenheden een _zeldzaamheid_ bij Apache. Het is geen zwitserse gatenkaas zoals MS Internet Information Server (IIS).
Originally posted by unregistered
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Het probleem is niet de bug zelf maar het feit dat ISS kleur
bekend !
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Waren ze NIET opeens GOLDENPARTNER van M$ net zoals een paar andere Security Bedrijfjes?
En in dat geval komt het M$ zeker niet uit als er opeens vanaf volgende week -in weekenden worden veel exploits gecode- er heel veel Apache backen uitmaken van security incidenten.
Iets wat in volgende marketing campagne ondersteund met grafieken uiteraard in het voordeel van M$ uitpakt....
Originally posted by Unregistered
Iets wat in volgende marketing campagne ondersteund met grafieken uiteraard in het voordeel van M$ uitpakt....
Iets wat in volgende marketing campagne ondersteund met grafieken uiteraard in het voordeel van M$ uitpakt....
Jawel, maar weten wij niet met zijn allen beter?
18-06-2002, 12:07 door
jroefs
Originally posted by unregistered
<snip>
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Lame?<snip>
Blijkbaar hebben ze meer affectie voor Mickey$oft want die verwittigen ze eerst vooraleer een advisory uitbrengen.
lame
Zeer correct. Zelf CERT hanteert deze methode. De auteurs van de software krijgen eerst zelf de kans om een verbeterde versie dan wel een patch uit te brengen, alvorens het grote publiek die kans krijgt. En het grote publiek is degene die niet te vertrouwen is.
Nou weet ik ook wel dat M$ niet de maker van Apache is, maar toch is die software op een heel groot aantal plaatsen op het Windows platform geinstalleerd. Aangezien die mensen vaak niet in staat zijn om zelf in de broncode van een programma te gaan neuzen, zijn ze afhankelijk van anderen om verbetering in de software aan te brengen en misschien dat Microsoft hier wel een rol in kan spelen.
Zoals ik al eerder zei, zeer correcte manier van handelen, applaus!
De auteurs van de software krijgen eerst zelf de kans om een verbeterde versie dan wel een patch uit te brengen, alvorens het grote publiek die kans krijgt. En het grote publiek is degene die niet te vertrouwen is.
Erm, dat is nou NET wat ISS heeft NAGELATEN...
Van de Apache site:
"We were also notified today by ISS that they had published the same issue which has forced the early release of this advisory."
Ja, dat doen ze met M$ vulnerabilities ook ?
hier is al een gedurende tijd een exploit vppr beschikbaar, nix nieuws
Aangezien die mensen vaak niet in staat zijn om zelf in de broncode van een programma te gaan neuzen, zijn ze afhankelijk van anderen om verbetering in de software aan te brengen en misschien dat Microsoft hier wel een rol in kan spelen.
Ik ruik een troll..
De grote grap is nu net dat mensen die niet in staat zijn om zelf in hun broncode te neuzen dat aan ~iedereen~ zouden kunnen vragen. Voorbeeld: Win32 binaries zijn nog niet uit, maar je hebt maar 1 'geek' nodig om 'm te compileren, terwijl je bij Apache moet wachten tot volgende dag, en bij microsoft to volgende SP of ueber-patch..
Dat heet Open Source :-) En microsoft heeft al talloze malen aangegeven dat ze daar niet zo dol op zijn..
Maar eigenlijk geloof ik niet dat ik je post serieus moet nemen, iemand die ~serieus~ oppert dat MickeySoft deel ~kan~ nemen aan een OS-product als Apache heeft niet opgelet :-)
Het is een algemeen bekend probleem dat systeembeheerders vaak zeer traag zijn met het toepassen van patches voor windows/IIS.
Hoe zit dat eigenlijk op het *nix/linux platform, met apache, php, sendmail, bind? Kan je daarvan zeggen dat er sneller gepatched wordt? Zullen er over 3 jaar nog steeds veel servers gehackt worden via dit soort holes? (a la unicode attack bij IIS, nog steeds een succesnummer)
Iemand gegevens hierover? Links/artikelen?
Hoe zit dat eigenlijk op het *nix/linux platform, met apache, php, sendmail, bind? Kan je daarvan zeggen dat er sneller gepatched wordt? Zullen er over 3 jaar nog steeds veel servers gehackt worden via dit soort holes? (a la unicode attack bij IIS, nog steeds een succesnummer)
Iemand gegevens hierover? Links/artikelen?
incidents.org / dshield.org
Als ~echt~ hommeles dan is dat toch wel een van de eerste sites waar je moet zijn..
na cert.org, online.securityfocus.com, packetstormsecurity.packetstorm.org, en slashdot.org en vele vele anderen zoals http://www.theregister.co.uk/, http://www.guninski.com/, http://www.heise.de/,www.net-security.org/, vmyths.com, grcsucks.com/ en de onnavolgbare http://www.attrition.org/
Als je van daar uit geen relevante info vindt is het net zojuist ontploft :-)
have a nice beer..
Als ~echt~ hommeles dan is dat toch wel een van de eerste sites waar je moet zijn..
na cert.org, online.securityfocus.com, packetstormsecurity.packetstorm.org, en slashdot.org en vele vele anderen zoals http://www.theregister.co.uk/, http://www.guninski.com/, http://www.heise.de/,www.net-security.org/, vmyths.com, grcsucks.com/ en de onnavolgbare http://www.attrition.org/
Als je van daar uit geen relevante info vindt is het net zojuist ontploft :-)
have a nice beer..
Originally posted by Virtal Technologies
Jawel, maar weten wij niet met zijn allen beter?
Jawel, maar weten wij niet met zijn allen beter?
Tuurlijk niet, net als Wim Kok vertrouwen wij Bill Gates blind.
He is the man!
Originally posted by Unregistered
Tuurlijk niet, net als Wim Kok vertrouwen wij Bill Gates blind.
He is the man!
Tuurlijk niet, net als Wim Kok vertrouwen wij Bill Gates blind.
He is the man!
Moeten we dan maar BLIND op Linus en co vertrouwen?
Originally posted by Unregistered
Moeten we dan maar BLIND op Linus en co vertrouwen?
Moeten we dan maar BLIND op Linus en co vertrouwen?
De essentie van security is dat men juist geen blind vertrouwen koesterd en men repeterend zaken controleert op juistheid.
Een 100% garantie is op dat vlak nimmer te geven (wanneer je reeel bent) maar zolang je oplettend, analytisch en zaken up to date houdt komt dat zeer dicht in de buurt.
Een 'software-vendor' maakt het echter wel vrij bont, door zeer opvallend frequente uitgifte van zeer critieke patches/updates ten opzichte van de op dat vlak rustiger opensource Linux/Unix markt.
Zonder een naam te noemen weet in princiepe vrijwel iedereen over wie je het hebt...
Blind vertrouwen is gevaarlijk, daarom is het fijn wanneer je de sources er zelf eens op na kunt lezen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
