image

Apache verhelpt meerdere kwetsbaarheden in HTTP Server

donderdag 23 december 2021, 09:29 door Redactie, 15 reacties

De Apache Software Foundation heeft meerdere kwetsbaarheden in HTTP Server verholpen waardoor het in het ergste geval mogelijk is om kwetsbare webservers op afstand over te nemen. De twee beveiligingslekken, aangeduid als CVE-2021-44224 en CVE-2021-44790, kunnen leiden tot een crash van de server, Server Side Request Forgery en een buffer overflow. Hiervoor zou een aanvaller een speciaal geprepareerde URI of request body moeten versturen.

Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) kan een remote aanvaller via de beveiligingslekken kwetsbare servers op afstand overnemen. De kwetsbaarheden zijn aanwezig in Apache HTTP Server 2.4.51 en eerder. In het geval van CVE-2021-44790, het beveiligingslek dat tot een buffer overflow kan leiden, is er voor zover bekend nog geen exploit beschikbaar. Apache adviseert beheerders om te updaten naar Apache HTTP Server 2.4.52.

Reacties (15)
23-12-2021, 10:03 door Anoniem
Een buffer overflow is toch te voorkomen met selinux?
23-12-2021, 10:08 door Anoniem
Leuk dat Apache, met al die functionaliteiten. Sommigen noemen Apache het zwitserse zakmes voor het internet, maar zelf zie ik vooral de gevaren van al die complexe code die fouten kunnen bevatten. En voor wat? Voor het simpel kunnen hosten van een website. Daar is echt niks complex voor nodig. We doen het onszelf aan. Ontwikkelaars die crappy website-code schrijven, maar wat we toch willen hosten want het is zo'n handige website. Ik durf ondertussen wel te stellen: gehackt worden is een keuze.
23-12-2021, 10:29 door Anoniem
De SSRF is alleen aanwezig als Apache gebruikt wordt als forwarding proxy (uitgaand verkeerd). Waarschijnlijk dat een aantal security leveranciers zich hier zorgen om moeten maken, maar als je Apache alleen gebruikt als webserver is er weinig aan de hand. Het zelfde geldt voor de buffer overflow, die alleen in de mod_lua module zit.
23-12-2021, 10:43 door SecOps
Daar gaat het kerstverlof...
23-12-2021, 10:49 door Anoniem
Door Anoniem: Een buffer overflow is toch te voorkomen met selinux?
Heel veel narigheid is met SELinux te voorkomen, maar mensen vinden het maar lastig, dus zetten het liever uit... :(
23-12-2021, 11:18 door Anoniem
Door Anoniem:
Door Anoniem: Een buffer overflow is toch te voorkomen met selinux?
Heel veel narigheid is met SELinux te voorkomen, maar mensen vinden het maar lastig, dus zetten het liever uit... :(
Als is het beheer van SELinux geen eenvoudige opgave. Ik zie liever AppArmor of nog beter, GRSecurity. Helaas is die laatste commercieel. Zou mooi zijn als GR Security onderdeel zou worden van de kernel.
23-12-2021, 11:21 door Anoniem
Brakke veiligheid tussen website en de achterliggende webserver. Apache in dit geval.
Shodan.io en gij zult vele kwetsbaarheden ontwaren. Spoitus.com een vraagbaak.

Header security, CSP, is er maar steeds te weinig van en vaak veel te laat geimplementeerd.

Gehackte servers die via redirects de boel besmetten met adware en malware. Eindeloos.

PHP-gebaseerd CMS met steeds weer onveilige plug-ins. Duizenden en duizenden gevallen.

Leuke extensies om in de developer console te checken weggejorist door Google of de "diensten",
zoals Tracker SSL en sommige userscripts in Tampermonkey. Extensie en api-restricties,
vanwege de diverse tracking- en monitor-behoeften van Big Tech en de Forces that Be,
hopend dat blokkeer-ontwerpers e.d. de handdoek in de ring zullen gooien.

Al veertien jaar in de website security en aan het error-hunten. Dweilen met alle kranen open, lieve mensen.
En niemand doet iets om het maar eens goed aan te kunnen pakken.

Het lijkt wel of onveilig meer geld in het laatje brengt. Tenminste dat denk ik wel eens zo de laatste tijd.
Ben ik nu gek of hoe zit het?

luntrus
23-12-2021, 11:21 door Anoniem
Door Anoniem: Ik durf ondertussen wel te stellen: gehackt worden is een keuze.

Wat een onzin, een leuke meid in een minirok vraagt er zeker ook om om verkracht te worden?
23-12-2021, 11:41 door Anoniem
Door Anoniem: Een buffer overflow is toch te voorkomen met selinux?

Ook om canaries in de kernel kun je heenwerken.
23-12-2021, 11:48 door Anoniem
Door Anoniem:
Door Anoniem: Een buffer overflow is toch te voorkomen met selinux?
Heel veel narigheid is met SELinux te voorkomen, maar mensen vinden het maar lastig, dus zetten het liever uit... :(

Ja, veel narigheid is te voorkomen, maar een Buffer overflow voorkomen lijkt me knap. De gevolgen zijn misschien minder groot dan wanneer SELinux uit staat, maar in de (standaard) targeted mode kun je heus nog wel enigszins misbruik maken van een probleem als dit.
23-12-2021, 16:54 door Anoniem
Door Anoniem:
Door Anoniem: Ik durf ondertussen wel te stellen: gehackt worden is een keuze.

Wat een onzin, een leuke meid in een minirok vraagt er zeker ook om om verkracht te worden?

Beetje rare vergelijking.

maareh. ja. die vraagt daar om, maar alleen als ze eerst opzoekt waar de kans het grootst is dat het gebeurt (in een donker ongepatched steegje) en dat ze daar dan dag en nacht bivakkeert (24/7 always-on) en zodra het gebeurt het niet merkt (geen alerting) en er verder ook niks om geeft (geen management belang)

Maar ja, ben je wel gehacked als je de deur wagenwijd open laat staan, of alleen heeeel erg gastvrij?


Gehacked worden is geen keuze, maar er niet op voorbereid zijn is wel een keuze.
23-12-2021, 19:59 door Anoniem
Door SecOps: Daar gaat het kerstverlof...

de open-source gemeenschap zou toch beter rekening kunnen gaan houden met dit soort release momenten.
Commerciële bedrijven releasen niet voor niets vaak op dinsdagen hun software.

Desnoods op dinsdag als je donateur bent en dan op donderdag als je dat niet wilt. Hebben ze meteen hun budget weer rond om te kunnen voortbestaan.
24-12-2021, 00:05 door Anoniem
Door Anoniem: Brakke veiligheid tussen website en de achterliggende webserver. Apache in dit geval.
Shodan.io en gij zult vele kwetsbaarheden ontwaren. Spoitus.com een vraagbaak.

Header security, CSP, is er maar steeds te weinig van en vaak veel te laat geimplementeerd.

Gehackte servers die via redirects de boel besmetten met adware en malware. Eindeloos.

PHP-gebaseerd CMS met steeds weer onveilige plug-ins. Duizenden en duizenden gevallen.

Leuke extensies om in de developer console te checken weggejorist door Google of de "diensten",
zoals Tracker SSL en sommige userscripts in Tampermonkey. Extensie en api-restricties,
vanwege de diverse tracking- en monitor-behoeften van Big Tech en de Forces that Be,
hopend dat blokkeer-ontwerpers e.d. de handdoek in de ring zullen gooien.

Al veertien jaar in de website security en aan het error-hunten. Dweilen met alle kranen open, lieve mensen.
En niemand doet iets om het maar eens goed aan te kunnen pakken.

Het lijkt wel of onveilig meer geld in het laatje brengt. Tenminste dat denk ik wel eens zo de laatste tijd.
Ben ik nu gek of hoe zit het?

luntrus
Goed gedacht. het is het verdienmodel voor veel bedrijven.
24-12-2021, 00:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een buffer overflow is toch te voorkomen met selinux?
Heel veel narigheid is met SELinux te voorkomen, maar mensen vinden het maar lastig, dus zetten het liever uit... :(

Ja, veel narigheid is te voorkomen, maar een Buffer overflow voorkomen lijkt me knap. De gevolgen zijn misschien minder groot dan wanneer SELinux uit staat, maar in de (standaard) targeted mode kun je heus nog wel enigszins misbruik maken van een probleem als dit.
Daarnaast draait Apache als een gebruiker met minimale rechten. Een server overnemen is dus kletskoek. Onder windows weet ik het niet maar vrees het ergste omdat veel services met admin rechten draaien.
24-12-2021, 13:31 door Anoniem
Door Anoniem:
Door SecOps: Daar gaat het kerstverlof...

de open-source gemeenschap zou toch beter rekening kunnen gaan houden met dit soort release momenten.
Commerciële bedrijven releasen niet voor niets vaak op dinsdagen hun software.

Desnoods op dinsdag als je donateur bent en dan op donderdag als je dat niet wilt. Hebben ze meteen hun budget weer rond om te kunnen voortbestaan.
We releasen als het af is en gaan niet op jou wachten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.