Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 18.6.2002

Apachessa palvelunestohyökkäyksen mahdollistava bugi

Tietoturvatutkija Mark Litchfield on löytänyt Apachesta palvelunestohyökkäyksen (Denial of Service) mahdollistavan bugin. Bugi liittyy Apachen tapaan käsitellä virheellisiä sivupyyntöjä, mikä Litchfieldin löytämän bugin kohdalla saattaa kaataa koko Apache-ohjelmiston estäen näin verkkopalvelun toiminnan. Apache-ohjelmistoa kehittävä Apache Software Foundationin mukaan bugi ilmenee Apachen vanhemmissa versioissa aina 1.3.24-versioon asti, mutta myös uudemmassa 2.0-versiosarjassa mukaanlukien versio 2.0.36.

Tietoturvayhtiö Internet Security Systems (ISS) julkaisi maanantaina tiedotteen, jossa kerrottiin samasta Apachen bugista. Apache Software Foundation ei ole tyytyväinen tapaan, jolla ISS toi asian julkisuuteen, sillä ISS antoi Apache Software Foundationille alle kaksi tuntia aikaa reagoida tiedotteeseen. ISS:n tiedotteen takia myös Apache Software Foundation joutui julkaisemaan oman tiedotteensa asiasta maanantaina, ennen tietoturvapäivityksen valmistumista. Apache Software Foundationin mukaan ISS:n julkaisema korjauspäivitys Apacheen ei korjaa ongelmaa kunnolla.

Lue juttu oma, 18.6.2002 13:30. Lähde: httpd.apache.org

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 23 uutta / 23 )
pistettä.
Näytä vain kommentit joilla on vähintään
Kuka on vastuussa Apachesta?
Anonyymi kommentoija, 18.6.2002 14:10:09		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista? Ei kai kukaan? Onko Apache Software Foundationilla työntekijöitä? Ainakaan Cox ei ole töissä siellä.
Re: Kuka on vastuussa Apachesta?
Anonyymi kommentoija, 18.6.2002 16:07:38		 Pisteet: +1
Kuka on vastuussa näistä Open Sourceista? Ei kai kukaan? Onko Apache Software Foundationilla työntekijöitä? Ainakaan Cox ei ole töissä siellä.
Eikai Cox nyt ole mikään jokapaikanhöylä. Hän tekee linuxsin kerneliä ja sillä siisti. Isoja unix projekteja BSD lisenssin alla on tuhansia, millä ei ole mitään tekemistä näitten "julkimoiden" kanssa. Maailmassa on muutakin kuin Open Source GPL:n tapaan, älä anna sen hämätä.

Ei niistä vastaa kukaan, mutta katsoppas mitä tapahtuu asentaessasi (laita tähän kaupallinen sovellus) kun painat I AGREE painiketta lisenssiehtoja (joita et selkeästi ole koskaan lukenut) hyväksyessäsi.

ASF:n jäsenet ja heidän taustallaan olevat yritykset löydät täältä: http://www.apache.org/foundation/members.html
ASF:n jäseneksi ei haeta, sinne kutsutaan.
Re: Kuka on vastuussa Apachesta?
Anonyymi kommentoija, 18.6.2002 16:09:40		 Pisteet: 0
yöntekijöitä? Ainakaan Cox ei ole töissä siellä.
Onhan hän siellä. Kutsuttuna jäsenenä Mark Cox. :>
Re: Kuka on vastuussa Apachesta?
Anonyymi kommentoija, 18.6.2002 16:14:30		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista?
Apachesta? IBM, Sun tai Redhat, kuka nyt sattui sinulle myymään sen tukisopimuksen.
Re: Kuka on vastuussa Apachesta?
Anonyymi kommentoija, 19.6.2002 00:51:08		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista? Ei kai kukaan? Onko Apache Software Foundationilla työntekijöitä? Ainakaan Cox ei ole töissä siellä.
Niinpä, mutta onhan se sentään open sourcea... :) Kaikki aukot 'ammattikräkkereiden' nähtävänä, ja hehän eivät niistä juuri huutele julkiseti.
anger Re: Kuka on vastuussa Apachesta?
anger, 18.6.2002 14:49:44		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista? Ei kai kukaan?
Tismalleen sama henkilö kuin kaupallisissakin ohjelmissa: käyttäjä itse.

Onko Apache Software Foundationilla työntekijöitä? Ainakaan Cox ei ole töissä siellä.
Apache Software Foundationista en tiedä, mutta olen varma siitä että Apachea kehittää suurikin joukko sellaisia henkilöitä, jotka saavat palkkaa nimenomaan Apachen kehittämisestä. Mikä yhtiö nämä palkat sitten maksaa, onkin aivan eri asia.
Re: Kuka on vastuussa Apachesta?
Nonsense, 19.6.2002 11:21:38		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista? Ei kai kukaan?
Sama taho kuin kaupallisissakin ohjelmissa: käyttäjä tai käyttäjän kaveri, joka osaa ohjelman korjata, päivittää tai vaihtaa toiseen. Yksityiskäytössä ainakaan kaupallisten ohjelmien kehittäjiltä on turha odottaa mitään korvauksia tai vastaavaa, jos vahinkoa tapahtuu. Ja lisenssiehdothan ovat niin kieroja että niitä ei kirjoiteta vaan ruuvataan kiinni... Siitä huolimatta ne kannattaa lukea.
Claustro Re: Kuka on vastuussa Apachesta?
Claustro, 18.6.2002 14:24:16		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista? Ei kai kukaan? Onko Apache Software Foundationilla työntekijöitä? Ainakaan Cox ei ole töissä siellä.
Ymmärtääkseni käyttäjä ottaa kaiken vastuun.

Mutta vaikka ohjelma olisikin kaupallinen niin sitä valmistavan yrityksen on helppo luikerrella pois vastuistaan. Olettekos koskaan lueskelleet kaupallisten ohjelmien sopimusehtoja? Kannattaisi koska sellaista lakimiestekstiä sieltä löytyy, että pahaa tekee..

Mutta tämähän on vain mielipide.
Re: Kuka on vastuussa Apachesta?
Anonyymi kommentoija, 19.6.2002 17:59:58		 Pisteet: 0
Ymmärtääkseni käyttäjä ottaa kaiken vastuun.
Mutta vaikka ohjelma olisikin kaupallinen niin sitä valmistavan yrityksen on helppo luikerrella pois vastuistaan. Olettekos koskaan lueskelleet kaupallisten ohjelmien sopimusehtoja? Kannattaisi koska sellaista lakimiestekstiä sieltä löytyy, että pahaa tekee..
En nyt ole ihan varma tästä, mutta minulla on muistikuva uutisista, joissa kerrottiin erilaisia lakiehdotuksia olevan vireillä eri puolilla maailmaa (Jenkkilä?), joissa haluttaisiin sysätä vähän vastuuta ohjelman mahdollisesti aiheuttamista vahingoista tekijälle.

Muistaako joku paremmin?

Mielestäni ainoastaan positiivinen kehityssuunta. Luonnollisesti nykyaikana on mahdoton testata ohjelmisto kaikissa mahdollisissa ympäristöissä ja käyttötilanteissa, mutta silti. Aika moni tuotekin taitaa sisältää komponentteja kolmannelta osapuolelta, joten mitenkähän softatalo voi ottaa niistä vastuuta.
Osama Re: Kuka on vastuussa Apachesta?
Osama, 19.6.2002 15:27:16		 Pisteet: 0
Kuka on vastuussa näistä Open Sourceista?
lue ohjelman lisenssi.
korjaus
Anonyymi kommentoija, 18.6.2002 17:47:39		 Pisteet: 0
Ellen vallan väärin käsittänyt, tuohon kai on jo joku fiksaus olemassa. Ja sikäli aika paha ikävä, että ainakin täälläpäin joku kusipää ilmeisesti juuri tuota käyttäen imi servereistä tehoja.
Re: korjaus
Anonyymi kommentoija, 18.6.2002 18:16:47		 Pisteet: 0
Ellen vallan väärin käsittänyt, tuohon kai on jo joku fiksaus olemassa.

Apache HTTP Server Project -järjestön mukaan Internet Security Systemsin (ISS) kehittämä korjauspaketti ei paikkaa reikää, joka mahdollistaa palvelunestohyökkäykset
Re: korjaus
Anonyymi kommentoija, 19.6.2002 08:53:17		 Pisteet: 0
Ellen vallan väärin käsittänyt, tuohon kai on jo joku fiksaus olemassa.
Apache HTTP Server Project -järjestön mukaan Internet Security Systemsin (ISS) kehittämä korjauspaketti ei paikkaa reikää, joka mahdollistaa palvelunestohyökkäykset
Tuohonkin tuli jo korjaus Apachen porukoilta.
[supahero!]
Anonyymi kommentoija, 18.6.2002 21:19:15		 Pisteet: 0
Olen tehnyt asp jsp php sivuja jo parisen vuotta IIS & Apachelle & Xitami palvelimille..Täytyy kyllä sanoa että en keksi yhtäkään syytä minkä takia maksaisin IIS :sistä..ASP :takiako? ash..

Kun apachen saat pyörimään niin siinä http serveri joka toimii kuin kello..

Apachessa joku vanha bugi?..voi voi
Montakohan IIS:ssä? ei jaksa laskeakkaan edes..
Re: [supahero!]
Anonyymi kommentoija, 19.6.2002 09:24:39		 Pisteet: 0
Olen tehnyt asp jsp php sivuja jo parisen vuotta IIS & Apachelle & Xitami palvelimille..Täytyy kyllä sanoa että en keksi yhtäkään syytä minkä takia maksaisin IIS :sistä..ASP :takiako? ash..
En yritä puolustella MS:ää, mutta ethän sinä maksakaan mitään IIS:stä. Maksat Wimpasta ja jos teet asiat oikeaoppisesti - eli pidät web-serverin erillään firman domainista - ei se lisenssi edes paljon maksa.
hanska vakava tietoturvabugi?
hanska, 18.6.2002 20:50:13		 Pisteet: 0
Onkos tämä nyt se vakava tietoturvabugi jollaisia ei ole löytynyt apassista sitten nuijasodan jota mainostetaan aina kun verrataan sitä muihin servereihin

Puheet open sourcen bugittomuudesta ovat vain fanaatikkojen höpinää, kuten näemme voi tälläinen bugi olla pitkäänkin pilossa. Yleensähän avoin softa on parempaa kuin suljettu ja kyllähän apassi on hyvä palvelin, mutta vikoja siinäkin siis on.

Kuinkahan pahaa jälkeä tämä mahtaa tehdä, kun ylläpitäjät jotka ovat tottuneet, että apache on kerran asennettava ja sen jälkeen sen saa jätää siihen lojumaan, eivät asenna patchia paikalleen.

Hanska
Erehtyminen on inhimillistä, mutta täydelliseen sekoiluun tarvitaan tietokone
Re: vakava tietoturvabugi?
Anonyymi kommentoija, 19.6.2002 02:36:21		 Pisteet: 0
Onkos tämä nyt se vakava tietoturvabugi jollaisia ei ole löytynyt apassista sitten nuijasodan
Näyttää olevan mahdollista ajaa koodia koneella tuon aukon avulla, bugi toimii kuitenkin vain 64-bittisissä koneissa, joten suurin osa intel-Linux käyttäjistä on turvassa, samoin Solaris käyttäjät koska sparc-v9 arkkitehtuuri ei anna ajaa koodia pinosta. Exploitattavia servereitä ovat mahdollisesti jotkut AIX, Irix ja True64 käyttistä pyörittävät vehkeet. Niiden %-osuus webbiserveistä lienee sitä luokkaa että mitään kunnon matoepidemiaa ei saada aikaan... Apache 2.x näytti myös olevan turvallinen.

Kaikkia platformeja koskee tietysti tuo palvelunestohyökkäys, mutta silläkään ei saa kokonaan konetta tai edes apachea nurin, paitsi windows alustalla.
heko Re: vakava tietoturvabugi?
heko, 19.6.2002 11:00:53		 Pisteet: +1
Näyttää olevan mahdollista ajaa koodia koneella tuon aukon avulla, bugi toimii kuitenkin vain 64-bittisissä koneissa
Bull. Unix-alustalle ei ole tiedossa kuin DOS-exploitteja. Windows / Apache 1.3:lle on. Tällä ei ole mitään tekemistä 64-bittisyyden kanssa.

Apache 2.x näytti myös olevan turvallinen.
Pelkän DOSsin kannalta se on tasan yhtä exploitattava. Vastaavaa remote-reikää siinä ei ole Windowsille.

Kaikkia platformeja koskee tietysti tuo palvelunestohyökkäys, mutta silläkään ei saa kokonaan konetta tai edes apachea nurin, paitsi windows alustalla.
Bull. Windows-alustallakaan Apachea saa nurin, ainoastaan sen multithreadaavan lapsen.

http://marc.theaimsgroup.com/?l=bugtraq&m=1024...

Apache on julkistanut uuden version sekä 1.3- että 2.0-sarjasta: http://httpd.apache.org/dist/>

Patchin löytää myös CVS:stä, ellei halua päivittää koko palvelinta: http://cvs.apache.org/viewcvs.cgi/apache-1.3/src/m...

Huomionarvioista on, että mikä tahansa exploitti kaataa Apachen lapsen, ei pääprosessia. Yleensä lapsukaiset pyörivät rajoitetuin oikeuksin. (Unixissa esim. 'www'- tai 'apache'-käyttäjänä.)
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
heko Re: vakava tietoturvabugi?
heko, 19.6.2002 11:07:39		 Pisteet: 0
Onkos tämä nyt se vakava tietoturvabugi jollaisia ei ole löytynyt apassista sitten nuijasodan jota mainostetaan aina kun verrataan sitä muihin servereihin
Apassin alkuhistoria oli tietoturvan suhteen kyllä hyvinkin kivinen.

Jos haluaa turvallisen palvelimen, ottaa publicfile:n. Ei se tietenkään Apachen tasoinen ole ominaisuuksissaan, though.

http://cr.yp.to/publicfile.html>

Puheet open sourcen bugittomuudesta ovat vain fanaatikkojen höpinää
Ääripäiden väliin mahtuu monenmoista.

kuten näemme voi tälläinen bugi olla pitkäänkin pilossa.
Kysymys onkin siitä, kuinka pitkään se on kehittäjiltä piilossa vielä sen jälkeen kun sitä on exploitattu, ja voitko itse korjata bugin.

Kuinkahan pahaa jälkeä tämä mahtaa tehdä, kun ylläpitäjät jotka ovat tottuneet, että apache on kerran asennettava ja sen jälkeen sen saa jätää siihen lojumaan, eivät asenna patchia paikalleen.
Ei voi tietää. Tyhmyydestä saa kärsiä.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
hanska vakava tietoturvabugi?
hanska, 18.6.2002 20:50:13		 Pisteet: 0
Onkos tämä nyt se vakava tietoturvabugi jollaisia ei ole löytynyt apassista sitten nuijasodan jota mainostetaan aina kun verrataan sitä muihin servereihin

Puheet open sourcen bugittomuudesta ovat vain fanaatikkojen höpinää, kuten näemme voi tälläinen bugi olla pitkäänkin pilossa. Yleensähän avoin softa on parempaa kuin suljettu ja kyllähän apassi on hyvä palvelin, mutta vikoja siinäkin siis on.

Kuinkahan pahaa jälkeä tämä mahtaa tehdä, kun ylläpitäjät jotka ovat tottuneet, että apache on kerran asennettava ja sen jälkeen sen saa jätää siihen lojumaan, eivät asenna patchia paikalleen.

Hanska
Erehtyminen on inhimillistä, mutta täydelliseen sekoiluun tarvitaan tietokone
Re: vakava tietoturvabugi?
Anonyymi kommentoija, 19.6.2002 00:49:28		 Pisteet: 0
Onkos tämä nyt se vakava tietoturvabugi jollaisia ei ole löytynyt apassista sitten nuijasodan jota mainostetaan aina kun verrataan sitä muihin servereihin Puheet open sourcen bugittomuudesta ovat vain fanaatikkojen höpinää, kuten näemme voi tälläinen bugi olla pitkäänkin pilossa. Yleensähän avoin softa on parempaa kuin suljettu ja kyllähän apassi on hyvä palvelin, mutta vikoja siinäkin siis on.
Miten niin yleensä... this is false sense of security... :) ja avaimet kaikkien nähtävillä kaikenlisäksi ...
Re: vakava tietoturvabugi?
Anonyymi kommentoija, 19.6.2002 09:01:45		 Pisteet: 0
Puheet open sourcen bugittomuudesta ovat vain fanaatikkojen höpinää, kuten näemme voi tälläinen bugi olla pitkäänkin pilossa. Yleensähän avoin softa on parempaa kuin suljettu ja kyllähän apassi on hyvä palvelin, mutta vikoja siinäkin siis on.
Siinähän on ollut vaikka kuinka paljon vikoja. Jos katselee vaikka sivua http://www.apacheweek.com/features/security-13
niin huomaa sen hyvin.

Kuinkahan pahaa jälkeä tämä mahtaa tehdä, kun ylläpitäjät jotka ovat tottuneet, että apache on kerran asennettava ja sen jälkeen sen saa jätää siihen lojumaan, eivät asenna patchia paikalleen.
Ei voi muuta kuin syyttää sitten itseään... Ainakin Apache on korjannut vian nopeasti. Ja tiedoittanut asiasta selkeästi.
lussmu Täysi reikä, eikä pelkkä DoS
lussmu, 24.6.2002 18:45:32		 Pisteet: 0
Useimmat ovat vissiin uskoneet Apachen, Red Hatin ja muiden valmistajien tiedotteissa mainostettua tyynnyttelyä "vain palvelunkieltohyökkäyksen mahdollistava reikä". Periaatteessahan se olisikan vain Windowseilla ja 64-bittisillä Unixeilla hyväksikäytettävä, mutta mutta..

http://packetstorm.decepticons.org/0206-exploits/a...

Ikävä kyllä erinäisten kikkojen avulla kyseisellä reiällä on onnistuttu murtautumaan lähes kaikille käyttiksille (OpenBSD, FreeBSD, Solarisa ja Linux)!

Eli kyseessä ei ole pelkkä palvelunkieltohyökkäys vaan Apachen ensimmäinen etäreikä miesmuistiin. Ikävä kyllä Red Hat, Apache ja erinäiset muut tahot eivät kyseisen koodinpätkän julkistamisenkaan jälkeen ole suostuneet päivittämään tiedotteitaan.. kuinkahan moni jättää palvelimensa päivittämättä?