Уразливість в Apache

22:44 31.10.2012

19.06.2012

У травні, 19.05.2012, я знайшов Information Leakage уразливість в веб сервері Apache. Про що найближчим часом повідомлю розробникам Apache httpd.

Раніше я вже писав про уразливість в Apache.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам додатку.

31.10.2012

Information Leakage:

В функціоналі Apache Server Status відбувається витік інформації - зокрема про запити до сервера (до всіх віртуальних хостів на ньому), при включеному ExtendedStatus. Про цей функціонал мені відомо ще з 2001 року, але лише в цьому році я дослідив його з точки зору безпеки.

http://site/server-status/

Також можуть використовуватися параметри notable, auto і refresh.

Цей функціонал знаходиться в модулі mod_status. По замовчуванню він відключений, але випадково чи навмисно (не розуміючи секюриті ризиків) він може бути включений та ще й без обмежень по IP для доступу до статусу. Папка /server-status/ - це шлях по замовчуванню і він може бути змінений в httpd.conf (але в основному використовується саме цей шлях).

Окрім Information Leakage також можлива DoS атака, якщо включена директива ExtendedStatus (доступна починаючи з Apache 1.3.2). Зазначу, що починаючи з версії 2.3.6 включення mod_status призводить до включення ExtendedStatus по замовчуванню. На можливість навантажити сервер при включеному ExtendedStatus звертають увагу і розробники в документації. Це при тому, що Server Status включений (і публічно доступний) на офіційному сервері Apache та ще й з розширеним статусом. Тобто самі вони не стали на це звертати увагу і проігнорували моє звернення про включений і публічно доступний Server Status у них на сервері та необхідність обмежити доступ до нього паролем (для виправлення IL уразливості в mod_status, а також захисту від DoS атак).

http://apache.org/server-status/

Уразливі Apache 1.1 - 2.4.3, що включають mod_status.

Лише в Гуглі (на запит intitle:”Apache Status”) можна знайти біля 5030 проіндексованих сайтів, частина з яких - це сторінки server-status (реальна кількість таких сайтів в Інтернеті значно більша).


Leave a Reply

You must be logged in to post a comment.