image

Apache configuratiefout opent interne netwerk

maandag 28 november 2011, 11:03 door Redactie, 1 reacties

Er is een nieuw probleem met de Apache HTTP webserver ontdekt, waardoor aanvallers toegang tot interne systemen kunnen krijgen. Het probleem ontstaat als er bepaalde instellingen niet goed zijn ingesteld. Het gaat om een variant van een probleem (CVE-2011-3368) dat eerder bij bepaalde mod_proxy/mod_rewrite configuraties werd ontdekt, en waarvoor Apache uiteindelijk een update uitbracht. Ook nu wordt er aan een patch gewerkt, zo laten de ontwikkelaars weten.

De variant werd ontdekt door Prutha Parikh van beveiligingsbedrijf Qualys. Tijdens een controle van de patch voor CVE-2011-3368, ontdekte ze dat het nog steeds mogelijk is om een exploit naar een volledig gepatchte Apache webserver te sturen. Parikh maakte een blogposting waarin ze twee voorbeelden geeft hoe een aanvaller via verkeerd ingestelde RewriteRule/ProxyPassMatch regels de beveiliging kan omzeilen.

Apache heeft nog geen patch uitgebracht, tot die tijd adviseert Parikh dan ook om de reverse proxy via deze manier in te stellen.

Reacties (1)
29-11-2011, 05:15 door Anoniem
open source op zijn best!

wordt een gat ontdekt en gepatched met brakke patch.
evil hacker leest patch even door en denkt: ha! its exploit time!
tegelijkertijd leest iemand van de community de patch door en denk: ff melden dat die patch nog niet helemaal goed is.

gevolg: lek gedicht

in closed source scenario:
wordt een gat ontdekt en gepatched met brakke patch.
evil hacker gaat oeverloos testen of de patch daadwerkelijk het gat dicht en vindt op een gegeven moment toch het gat en denk: ha! its exploit time!.
tegelijkertijd leest Niemand van de community de patch door want deze is immers closed source.

gevolg: lek blijft bestaan en wordt massaal misbruikt, leverancier wordt op hoogte gesteld van aanvallen maar heeft geen idee waar het probleem zit. leverancier is een boel tijd kwijt om te achterhalen waar het gat zit en al die tijd gaan de aanvallen door. leverancier vindt na veel tijd hopelijk het gat. etc etc..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.