Groźna luka w Apache

Poczekajmy na update...

Kto dzisiaj bawi się w Apache skoro istnieją lepsze rozwiązania?

Nie ma co płakać, jest łata zrobiona przez społeczność oraz kilka innych rozwiązań problemu.
To się robi tak:

$ patch
$ ./configure
$ make
$ make install

Fixed.

czemu mnie nie dziwi tak potworny błąd bezpieczeństwa oprogramowania, w którego kodzie może grzebać każdy, dlatego swoje strony zawsze hostuję na windows serwer

EEE tam dziura jest iptables trzeba ruszać główką ale dobry nius..

@Anonim, Ty a kto dziś używa Windowsa jak istnieją lepsze rozwiązania ?
@fanms, tak Windows nigdy nie ma luk :)

@TheBlackMan
Kogo obchodzi Twoje pisanie o "łatach"
Zanim wyszło na jaw o tej luce, to pewnie setki (tysiące) serwerów z apache padło!

Jeżeli podajesz, że jest "łata", to może podałbyś od razu link do niej?!
A takie pisanie, że się robi tak i tak, to sobie możesz wsadzić pomiędzy ...



Luka istnieje od jakiegoś czasu, exploity też są dawno.
Nawet jak expolitów nie było, to byo pewnie używane od dawna.
I tu jest kolejny raz dowód na to, że otwartość kodu nie oznacza lepszej kontroli.


Pomijam temat, w którym już dawno rzesza linuksowców psioczyła by na Microsoft, gdyby to był ich produkt.

Pozdrawiam

Miło, że na DP zaczęły pojawiać tego typu informacje o aplikacjach serwerowych. Choć z drugiej strony oby było ich jak najmniej :D

@Anonim
oświeć nas..

Apache to przeżytek, jest używany bo jest i jest darmowy. Powoli wypiera go nginx. Do ideału jeszcze trochę brakuje ale od dawna jakiś następca jest potrzebny.

Jaka luka? To, że ktoś mi zamuruje sejf wcale nie oznacza, że się włamał. I tak bezpieczniej z Apache niż na IIS.

W newsie nie ma informacji, że dotyczy to też IIS ale M$ twierdzi, że od wersji 6.0 problem już nie występuje.

Workaround:

RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]

haha!! upada kolejny mit "bezpiecznego Linuksa"! Bardzo dobrze od dawna było wiadomo, że z tego całego Linuksa nic nie będzie

[[haha!! upada kolejny mit "bezpiecznego Linuksa"! Bardzo dobrze od dawna było wiadomo, że z tego całego Linuksa nic nie będzie]]

haha!! kolega tylko potwierdza to że polski system edukacji leży i na lekcjach j. polskiego nie potrafią uczyć czytania ze zrozumieniem. Gdzie tam jest mowa o Linuksie? I od kiedy to Apache jest dostępny tylko na Linuksa?

@dzonasek:
Który z mitów "bezpiecznego lunuksa" upadł?
Ciekawe, że google odpowiada ponad dwukrotnie większą ilością wyników pod hasłem "luka w IIS" niż "luka w apache" a pod ostatnim hasłem większość pierwszych wyników to luka podana w tym artykule.
poza tym zastanawiałeś się ile wirusów przepuszcza Twój antywirus?:D

@Areh
Zapomniałeś dodać: i od kiedy to jest dziura? ;)

Nikt za pomocą samego DoS do nikogo się jeszcze nie włamał. Po prostu kolega wyżej wykazał się elementarnym brakiem znajomości informatyki. W sumie dobrze, że Micro$oft odmóżdża słabe umysły. Wielu nie miałoby przez to pracy.

@an.shop mylisz softwear "opensource" z pojeciem linux, linux to jedynie czesc "opensouce'u" a "opensource" to jedynie czesc Gnu/Linux-a, apache to nie linux a po za tym jesli juz pijecie do czegos to przeciez jest napisane ze "lat zostala" juz wydana przez spolecznosc, a w jak sa dziury w Win to a.musisz czekac trzy misiace na wydanie laty b.musisz czekac na sp c.musisz zakupic licencje nowego windowsa d.M$ informuje (teraz smiech) ze dziury niema/jest niewazna/ a jak juz wyjdzie szydlo z worka to "zrob to sam" to tyle.

Powerfeniks | 25.08.2011 12:18 #15

@an.shop mylisz softwear "opensource" z pojeciem linux, linux to jedynie czesc "opensouce'u" a "opensource" to jedynie czesc Gnu/Linux-a, apache to nie linux a po za tym jesli juz pijecie/pijesz do czegos to przeciez jest napisane ze lata zostala juz wydana przez "spolecznosc", a jak sa dziury w Win to a.musisz czekac trzy miesiace na wydanie laty b.musisz czekac na sp c.musisz zakupic licencje nowego windowsa d.M$ informuje (teraz smiech) ze dziury niema/jest niewazna/ a jak juz wyjdzie szydlo z worka to "zrob to sam" to tyle.

Apache Httpd czy Apache Tomcat ? zreszta jest jeszcze wiele projektow z Apache w nazwie.

brak porownanie z innymi serwerami...
mierny post.

@slepcu apache w domysle znaczy httpd. ASF powstała *po* httpd.

@RaveStar
Masz rację. Lepiej mieć zablokowany dostęp do swojej strony internetowej na której się zarabia i się cieszyć? Tak?
lol...


@Powerfeniks
"mylisz softwear "opensource" z pojeciem linux, linux to jedynie czesc "opensouce'u" a "opensource" to jedynie czesc Gnu/Linux-a, apache to nie linux"

Kolejny z problemami zrozumienia czytanego tekstu!
Gdzie ja pisałem coś tutaj o Linuksie? Gdzie ja pomyliłem te znaczenia?!?!?!

kolejny raz lol...

"a po za tym jesli juz pijecie do czegos to przeciez jest napisane ze "lat zostala" juz wydana przez spolecznosc"
Może jakiś dowód na to. Link do strony z podaną "łatką".
A może dla Ciebie BlackMan jest aż takim autorytetem, że mu wierzysz na słowo?

NA temat o Microsofcie się już nawet nie wypowiem, bo szkoda mojego czasu, na odpisywanie komuś, kto nawet nie ma "zielonego pojęcia" o czym się pisze i o czym sam pisze. Do tego powtarza zasłyszane rzeczy... lol ...


Próbujesz pisać coś co nie ma sensu. Opierać swoje głupie wymysły na czymś czego nie ma. Piłeś coś dzisiaj? Może zażywasz coś?


Weźcie idźcie do szkoły i uważajcie na języku polskim!
Zostawcie te komputery i zacznijcie czytać więcej książek z ich jednoczesną analizą!
Zobaczycie, że świat jednak się trochę różni od tego, w którym Wy żyjecie.



Pozdrawiam
PS.
Jeśli wg. Ciebie Windows to, jak Ty to napisałeś "crap", to dlaczego używasz tego systemu?
Hipokryta...

@dzonasek, Mit Linuksa powiadasz...?

Aż musiałem przewinąć artykuł na początek i przeczytać jeszcze raz tytuł bo myślałem, że coś z moją głową nie tak. Na pewno czytaliśmy ten sam artykuł? A może miałeś na myśli Apple? ehhh....

@an.szop
Od tego są firewalle micro$oftowy "specjalisto". Do tej pory nikomu to nie przeszkadzało i nie przeszkadza, a przypomnę, że 60% serwerów na świecie to Apache i ich ilość rośnie. Natomiast ilość crapu od M$ to 12% i na szczęście spada.
Już nie wspomnę udanych atakach na niedobitki super bezpiecznej technologii M$ w czasie przechodzenia Giełdy Londyńskiej na Linux. ;)

http://news.netcraft.com/archives/2011/08/05/august-2011-web-server-survey-3.html

Gdyby problem był poważny, to już dawno byłoby o tym słychać, bo takie rzeczy wychodzą w praniu i to bardzo szybko.

Wykazujesz się kolego elementarną niewiedzą o temacie, w którym zabierasz głos. Nawet nie masz odwagi przyznać komuś racji tylko idziesz w zaparte.

Dokładniej proszę się przyjrzeć statystykom dot. udziału w rynku największych serwerów na świecie:

http://news.netcraft.com/wp-content/uploads/2011/07/wpid-top1m-market2.png

Apache się nie rusza z miejsca natomiast super technologię M$ wykopuje z rynku jakiś nginx, o którym sam do niedawna nic nie słyszałem.

Nie orientuję się w temacie za bardzo, ale za spadek udziału serwerów M$ na rynku może być odpowiedzialne to:

http://www.mono-project.com/ASP.NET#ASP.NET_hosting_with_Nginx

oraz to:

http://serverfault.com/questions/88283/performance-of-iisasp-net-vs-nginx-fastcg...

Dodam jeszcze, że nginx jest za free vs 2kPLN za M$ $erwer.

gdybyś miał choć troszkę podstawowej wiedzy ravestar, to nie musiałbym ci tłumaczyć, że te 60% linuksa na serwerach to głównie nędzne firmy hostingowe nastawione na zarobek z hostowania stronek i blogów dzieci z gimnazjum. stosunek serwerów w poważnych firmach i instytucjach nastawionych na bezpieczeństwo danych jest dużo lepszy dla windows server. nie muszę ci chyba przypominać, że nawet ten portal swój najbardziej newralgiczny serwer ma na windows. o czymś to chyba świadczy.

O, i zapomniałbym. Oto dowód skąd tyle trolli M$ i M$-FUDu w sieci:
http://gwan.ch/en_doj.html

@fanms
Głupota z twojego tekstu aż poraża. ;)

@ravestar
oto odpowiedź merytoryczna, pełna faktów, na poziomie kogoś kto pingwinowi spod ogona wypadł ;)

Ktoś wyżej pisał, że przez otwartość źródeł jest wykrywana większa ilość luk. Nie jest to prawdą, testy bezpieczeństwa NIE polegają na przeglądaniu kodu źródłowego. Źródła nic do luk nie mają.

Ktoś wyżej pisał, że przez otwartość źródeł jest wykrywana większa ilość luk. Nie jest to prawdą, testy bezpieczeństwa NIE polegają na przeglądaniu kodu źródłowego. Źródła nic do luk nie mają.

Ktoś wyżej pisał, że przez otwartość źródeł jest wykrywana większa ilość luk. Nie jest to prawdą, testy bezpieczeństwa NIE polegają na przeglądaniu kodu źródłowego. Źródła nic do luk nie mają.

Nie? Nic nie mają? A to nowość.
1. Jak widzę błąd w kodzie źródłowym to WIEM, że on tam jest i mogę go wykorzystać.
2. Jak widzę błąd to mogę go sam naprawić lub zgłosić do autora i nie muszę czekać na łaskawego MS (lub innego autora).

Inna sprawa, że kod źródłowy nie oznacza, że jest on bezbłędny.

Co do tych krzykaczy, to ją mogę udostępnić kompa i ciekawe czy będziecie umieli wykorzystać ta dziurę. Ja b.wątpię. Na papierze każdy jest mądry.

W foreksie od wersji przynajmniej 2.0 jest błąd podwójnego zadania w AJAX, wiele osób o tym nie wie. I nie wiem ile było przypadków wykorzystania tej luki. Pewnie mnie niż ww. przypadek.

Czy jest powód do paniki? NIE.

@an.shop daj se spokuj po prostu podloczylem temet o linuxie do tego o "linuxiarzach" ale rozumiem twoj bol z twoim ilorazem iq tez bym tego niezrozumial :]

@addos, załóżmy, że używasz jakiejś aplikacji (np. Firefoska), która sama wyłącza się losowo raz na jakiś czas, a w logach nic nie ma. Jestem na 100% pewien, że przeglądając "na pałę" kod źródłowy NIE DASZ RADY samodzielnie tego poprawić. Możesz gdybać że to błąd naruszenia ochrony pamięci, przepełnienie stosu lub cokolwiek innego. Dopiero próba odtworzenia sytuacji w której wystąpił błąd (z debuggerem "w ręce") może naprowadzić na przyczynę błędu. Gdy udało się odtworzyć warunki wystąpienia błędu oraz domyślamy się w jakich modułach aplikacji błąd może występować - możemy przystąpić do przeszukiwania źródeł.

@addos, takie błędy w kodzie, które widać gołym okiem to zdecydowana mniejszość i trafiają się bardzo rzadko (chyba że pisał je jakiś student lub początkujący programista).

Ja tylko dodam ze kampania wyborcza nowego windowsa oficjalnie otwarta, i pewnie do jego wydania spokoju w necie niebedzie :[

@Jan Korniszon, Nie wiem czy się rozumiemy. Ja nie twierdzę, że osobiście to poprawię bo może akurat się na tym nie znam. Chodzi raczej o to, że jak masz wiedzę to możesz to posprawdzać i to naprawić jeżeli da się odtworzyć błąd. Tyle, że żeby odtworzyć błąd to musisz wiedzieć, że on występuje. Skoro występuje to mogę się założyć, że już jest łatka wydana przez programistów. Jeżeli nie wydali łatki to albo jest to trudne do odtworzenia albo występuje to w bardzo specyficznych okolicznościach i trzeba to zbadać. Bo jeśli coś jest wiadome to załatać nie problem, prawda?

A jak masz dziurę w zamkniętym kodzie to napisz mi co ty biedny może w tym temacie zrobić? Załóżmy, że jesteś tak dobry, że poradziłbyś sobie z załataniem? Pisz, bo jestem ciekawy :)

Bardzo możliwe, że nie do końca się zrozumieliśmy. W swoim poście chciałem zwrócić uwagę na to, że błędy ujawniają się podczas działania już skompilowanego programu a nie przy przeglądaniu kodu, więc w tym momencie nie ma znaczenia czy jest to open source czy nie.
Plus dostępu do źródeł jest taki że każdy kto ma odpowiednie umiejętności (i mu się chce) może sam dokonać poprawek. Natomiast w przypadku zamkniętego oprogramowania możemy co najwyżej zgłosić buga i zdać się na łaskę devów ;) - reverse engineering nie jest dla zwykłych śmiertelników (poza tym często się nie udaje).

W skrócie chodziło mi o to, że luki występują w takim samym stopniu zarówno w otwartym jak i zamkniętym oprogramowaniu - ilość powstałych dziur zależy od umiejętnośći programistów, którzy tworzą dane oprogramowanie a nie tego czy udostępnili źródła.

@Jan Korniszon

No to daję przykład:

Ten błąd w Apache został opublikowany bodajże 20 sierpnia 2011 a łatka była dostępna 23 sierpnia, wcześniej można było skorzystać z "usług" mod_setenvif/mod_rewrite.
Właśnie dzięki dostępnym źródłom, każdy chętny, mógł wprowadzić poprawkę, bez czekania na wydanie kolejnej wersji serwera.

Podobny błąd (Denial of Service + Remote Code Execution) występuje w ftp IIS 7.5, http://www.kb.cert.org/vuls/id/842372 ale po raz kolejny zastosował podejście "security by obscurity" i stwierdził, że luka nie jest groźna bo: serwer ftp nie jest domyślnie instalowany i włączony, a prawdopodobieństwo udanego wykonania dowolnego kodu jest znikome z powodu włączenia DEP.
Luka opublikowana 22-12-2010, do dzisiaj nie załatana

O innych lukach szkoda wspominać wystarczy poczytać Microsoft Security Bulletin dla IIS

Właśnie możliwość samodzielnego dokonania poprawek w kodzie jest zaletą open source.

@Jan Korniszon
1. "błędy ujawniają się podczas działania już skompilowanego programu a nie przy przeglądaniu kodu"

Założenie błędne. ZAWSZE jak przeglądasz kod to możesz znaleźć błędy. Nie wiem dlaczego pisze, że tak nie jest?


2. "ilość powstałych dziur zależy od umiejętnośći programistów, którzy tworzą dane oprogramowanie a nie tego czy udostępnili źródła"

Oczywiście. Tutaj się zgadzam. Ale powiedz, co kogoś obchodzi ile jest dziur? NIGDY tego nie sprawdzisz. Dziury mogą występować w KAŻDYM oprogramowaniu niezależnie od otwartego / zamkniętego kodu. Nawet jak MS napisze, że dziur więcej nie ma bo wszystkie znaleziono i poprawiono to uwierzysz w takie zapewnienie? To samo się tyczy Linuksa. Uwierzysz? Ja nie uwierzę. Po jakimś czasie i w Windowsie i w Linuksie mogą się pojawić błędy.

Uważam, że całość nie rozchodzi się o to czy coś MA błędy i czy się POJAWIĄ. Ważniejsze jest jak szybko są one usuwane. No chyba, że sobie ktoś nieźle w kulki leci i wydaje oprogramowanie pisane na odwal się i co chwilą jest masa błędów i nie zanosi się na to, żeby autor się zmienił. Wtedy to ja dziękuję za takie oprogramowanie. W przeciwnym wypadku ważna jest szybkość reakcji w łataniu błędów. Co mi tam po tym, że raz na miesiąc MS łaskawie wypuści łatki jak do tego czasu można szaleć? Co mi po tym, że MS twierdzi, że luka jest niegroźna wg nich i nie będą tego naprawiać? Tutaj to już przesada.

Ludzie pewnie sami by to poprawili gdyby MS miał otwarty kod. A tak? Możesz czekać i czekać i... czekać... albo przejść na coś innego :)

Przez nieuwagę wysłałem #43 jako anonim

@addos, zgadzam się z Tobą, że kluczowa jest szybkość w wydawaniu poprawek.

Do kogoś wyżej co pisał, że do niedawna nie słyszał nic o nginx - nginx bazuje na serwerze Apache.

Hehe - a moj serwer wczoraj padl ofiara jakiegos syfa, ktory wykorzystuje te luke (ponad 500 zapytań o pdfa z nałówkiem range w ciągu niespełna minuty)
Było fajnie, kiedy nie mogliśmy dojść o co chodzi ze zżeraniem pamięci przez Apache :)
Nic się nie stało, ale zgłoszeń od klientów do restartu apache było co niemiara.