  |
Za poslednú hodinu: 83 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 19. apríla 2024, dnes má meniny Jela |
|
Zákazníci webhostingov a webhostingové firmy pozor, cez Apache je možné kradnúť dáta
bezpečnosť
Chybu označenú Optionsbleed objavil Hanno Böck a ako už názov napovedá, ide povahou o podobnú chybu ako extrémne vážna chyba Heartbleed. Podobne ako Heartbleed umožňuje útočníkom získavať dáta z pamäte procesu aplikácií používajúcich zraniteľné verzie knižnice OpenSSL, umožňuje Optionsbleed získavať obsah pamäte cez webový server Apache. Hoci je chyba prítomná v každej verzii Apachu, zneužiť sa podľa informácií Böcka dá v len špecifickom štandardne málo častom prípade. Chyba sa totiž vyskytuje v implementácii konfiguračnej direktívy Limit a HTTP metódy OPTIONS a prejaví sa podľa Böcka len ak je v konfigurácii aktuálneho serveru použitá direktíva Limit s názvom HTTP metódy, ktorú server Apache nepozná. Následne web server pri požiadavke s metódou OPTIONS v hlavičke Allow okrem podporovaných metód môže pre chybu typu použitia pamäte po uvoľnení poslať aj obsah kusu pamäte webového servera. V ňom sa teoreticky môžu nachádzať heslá iných užívateľov, kúsky stránok zobrazovaných iným užívateľom aj s dátami a podobne. Direktíva Limit slúži na konfiguráciu ľubovoľných nastavení, ktoré platia iba pre vymenované HTTP metódy. Direktívou je možné napríklad nakonfigurovať, kto môže meniť dáta na serveri cez metódy PUT a DELETE. Bežne sa direktíva Limit a to navyše s nesprávnou HTTP metódou v konfigurácii nevyskytuje a chyba sa na väčšine serverov tak nedá zneužit. Böck ju napríklad identifikoval len na 466 weboch z prvého milióna webov podľa Alexa. Nebezpečenstvo ale chyba predstavuje v scenároch, kde môžu konfiguráciu webového servera ovplyvňovať viacerí a potenciálne nedôveryhodní užívatelia. To sa deje napríklad u webhostingových spoločností, ktoré využívajú jeden webový server na poskytovanie mnohých virtuálnych webov. Hoci ich zákazníci väčšinou samozrejme nemajú možnosť priamo meniť hlavné konfiguračné súbory webového servera, konfiguráciu pre svoj virtuálny server môžu ovplyvňovať súbormi .htaccess umiestnenými skrátka v adresári ich servera. Prítomnosť nesprávnej Limit metódy umožní ale získavať časti celej pamäte Apachu a teda potenciálne aj dáta týkajúce sa ostatných virtuálnych serverov. Naraz cez chybu uniká podľa Böcka relatívne málo dát, koľko nešpecifikuje. Bližšie analýzy čo všetko sa dá prakticky cez chybu získať zatiaľ chýbajú, zatiaľ tak treba považovať chybu v takomto nastavení za mimoriadne vážnu. Böck v oznámení kritizuje komunikáciu s vývojármi Apachu, keď sa podľa neho s nimi nedal dohodnúť časový harmonogram zverejnenia chyby. Pre verziu 2.4 je v súčasnosti k dispozícii oficiálny patch, ktorý jednotlivé distribúcie zapracovali alebo zapracujú čoskoro. Pre verziu 2.2 je k dispozícii backportovaný patch, ktorý tiež predpokladane distribúcie zapracujú. Oznámenie neponúka žiadne odporúčania ak opravená verzia zatiaľ nie je k dispozícii, jedným z riešení je zrejme ale globálne použitie konfiguračnej direktívy AllowMethods z modulu allowmethods s povolením len potrebných metód bez OPTIONS. V diskusii k oznámeniu sa zároveň vyskytujú dve zaujímavé informácie. Problém bol zaregistrovaný prvýkrát minimálne v 2014, jeho príčina a bezpečnostné dôsledky vtedy si ale aspoň autor tohto zistenia nevšimol. Zároveň jeden z čitateľov tvrdí, že problém nasimuloval aj pri korektných parametroch direktívy Limit, čo by sa mierne odlišovalo od zistení Böcka a zatiaľ to nie je definitívne potvrdené. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
