Zdalny exploit dla Apache na Windowsie

Firma Sense Of Security znalazła dziurę w ciągle dość popularnym serwerze Apache. Dziura pozwala na zdalne wykonanie dowolnego kodu na atakowanym serwerze z uprawnieniami dostępnymi dla serwera.

Opis podatności można znaleźć w SOS-10-002. Został również udostępniony kod eksploita demonstrujący działanie błędu. Błąd znajduje się w module mod_isapi, a podatne na niego są tylko wersje Apache uruchomione na systemie Windows.

Wszystkim użytkownikom Apache poleca się dokonanie w najbliższym czasie aktualizacji do wersji 2.2.15, która pozbawiona jest tego błędu.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Bartek
    Bartek

    Co to znaczy "niestety ciągle dość popularnym"?

    1. Awatar spy000yps
      spy000yps

      Najwolniejszy, najbardziej spasiony, najpopularniejszy otwarty serwer www -> apache.

      Znam 3 lepsze rozwiązania które być może w niedługim czasie zmiotą apache z powierzchni ziemi.

      1. Awatar wm
        wm

        To może wymień.

        1. Awatar spy000yps
          spy000yps

          Wymieniłem, ale jakiś tere fere przeredagował newsa.

    2. Awatar mby7930
      mby7930

      "Co to znaczy “niestety ciągle dość popularnym”?"

      Chodzi o Windowsa, ciągle jest jeszcze dość popularny, niektórzy samobójcy nawet serwery na nim stawiają.

  2. Awatar Sławek
    Sławek

    O której wersji Apache piszesz(która wersja jest podatna). Z treści artykułu wnioskuję, że niestety na wielu serwerach jest przestarzała i niełatana wersja tego programu(w co wątpię).

    "lighttpd, nginx czy cherokee":Podałeś tutaj lekkie serwery WWW. Niestety, lecz sprawdzą się one tylko w niektórych zastosowaniach(takie jest ich przeznaczenie). Jednak zwyczajnemu Kowalskiemu zmiany serwera z Apache na jeden z wymienionych życzę, gdyż w zastosowaniach, w których można je użyć, prześcigają w szybkości Apache.

    1. Awatar spy000yps
      spy000yps

      " której wersji Apache piszesz"

      Podatne są wszystkie wersje przed 2.2.15 – to chyba oczywiste i wynika z tego co napisałem.

      "Niestety, lecz sprawdzą się one tylko w niektórych zastosowaniach(takie jest ich przeznaczenie)"

      Zanim coś napiszesz, to może sobie poczytaj o możliwościach tych serwerów a nie pi tol.

      Siejesz tu propagandę mówiącą, że apache to jedyne uniwersalne rozwiązanie. Apache może jest uniwersalny, ale pod każdym innym względem jest najgorszym open sourceowym serwerem. Zapoznaj się z możliwościami innych httpd i nie siej propagandy, bo ten open sourceowy ciemnogród z osnews nadal będzie siedział w wigwamach 😉

      1. Awatar Sławek
        Sławek

        Nie napisałem, że Apache jest bardzo uniwersalny. Apache został przystosowany do obsługi PHP, a z obsługą innych języków radzi sobie słabo(oczywiście, że można użyć CGI/Fast CGI i innych technik). Natomiast Apache ma bardzo wiele modułów, np. do konwertowania dokumentów w locie, gdy mają zostać przesłane do przeglądarki.

        1. Awatar groszek
          groszek

          Nikt normalny produkcyjnie nie używa mod_php, tylko fastcgi i suexec. A tutaj to i nginx czy lighty pójdą.
          Choć osobiście wolę apache…

      2. Awatar Rsh
        Rsh

        spy000yps: Jak podasz mi jak w normalny sposób użytkownicy mają używać plików .htaccess i za ich pomocą ustawiać hasła, dodawać index i takie tam, to z chęcią przerzucę się na lighttpd, na razie lighttpd może mi służyć tylko jako domowy mini serwer do plików …

      3. Awatar fEnIo
        fEnIo

        Zanim coś napiszesz, to może sobie poczytaj o możliwościach tych serwerów a nie pi tol.

        Pitolisz to chyba Ty. Apache owszem jest dość przerośnięta kobyłą, ale nginxy, cherokee i inne lighttpd nie są rozwiązaniem wszystkich bolączek tego świata.

        Samo fastcgi w porównaniu do mod_php nie wszystkich rzuca na kolana, a ilość specjalistycznych modułów do Apache'a też swoje robi.

        Sam wciskam nginxa gdzie mogę, ale choćby brak obsługi .htaccess i swoja wariacja na temat mod_rewrite dość znacznie to utrudnia.

        Zresztą po dziś dzień jakiegoś ludzkiego menedżera fcgi nie znalazłem. Chwilowo używam spawn-fcgi, ale przy konkretnym loadzie klęka to niemiłosiernie i mało co loguje utrudniając diagnozę.

        Nie wiem w sumie co palisz, że musisz tak dojebać na wejściu Apache'owi. Gdyby nie on to pewnie całe WWW byłoby na dzień dzisiejszy w trochę innym miejscu niż jest.

        pozdr,
        fEnIo

  3. Awatar krzysiek
    krzysiek

    siejesz FUD Kolego. Błąd jest w module mod_isapi, a podatne są _tylko_ wersje Windowsowe (więc jakby nie patrzeć, tematyki portalu nie dotyczą).

    A że znacząca większość to Apache na różnej maści unix/linux-ach imo raczej mało znaczące odkrycie.

    1. Awatar spy000yps
      spy000yps

      "więc jakby nie patrzeć, tematyki portalu nie dotyczą"

      Tak, bo open source to tylko działa na linuksie. Na windowsach już nie jest open source.

      1. Awatar Sławek
        Sławek

        W każdym razie, to nie wolne oprogramowanie. 😉 Co to za wolne oprogramowanie, które pracuje pod nie wolnym jądrem.

        1. Awatar Memphis
          Memphis

          A to jest portal o wolnym oprogramowaniu?

        2. Awatar marcinsud
          marcinsud

          @Memphis news wisi na jakilinux przez tag open-source, więc nie wszyscy go czytają z osnwes.pl

        3. Awatar groszek
          groszek

          Sławek: a linux, co to za wolne oprogramowanie które pracuje na procesorach z milionami patentów i bez dostępnych schematów by każdy mógł sobie stworzyć własnego core2duo?

    2. Awatar azhag
      azhag

      > Błąd jest w module mod_isapi, a podatne są _tylko_ wersje Windowsowe (więc
      > jakby nie patrzeć, tematyki portalu nie dotyczą)

      Ta wersja tylko na Windows nadal jest FLOSS — czyli tematyka pasuje (mniemam, że piszesz w kontekście LN).

      __

      Co do „niestety ciągle dość popularnym”: „niestety” — jako komentarz — nie powinno się znaleźć w tekście informacyjnym.

      Osobiście jakkolwiek się zgadzam, że w wielu zastosowaniach Apache wypada gorzej od konkurencji, jednak trzeba przyznać, że w przypadku serwerów dla wielu użytkowników ma dużą przewagę — możliwość konfiguracji za pomocą htaccess.

    3. Awatar marcinsud
      marcinsud

      podejrzewam, że chodzi o to, że news jest na linuxnews. Powód jest taki, ze użyto tagu open-source

  4. Awatar kj
    kj

    Był swego czasu taki dowcip. Apache na Windowsie jest jak Miriam: twarz może i ładna, ale kutas w majtkach…

  5. Awatar veel
    veel

    “ciągle dość popularnym serwerze Apache”

    Pomijając fakt, że Apache to najpopularniejszy serwer www, oraz że jego popularność nie spada, a wręcz rośnie, to piszesz obiektywnie…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *