Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 7, views: 8.492 •

Oracle heeft eind vorige week onverwacht een beveiligingsupdate uitgegeven voor zijn Fusion-middleware en Application Server-producten. De patch bevat een geüpdatete versie van de Apache-webserver, die vatbaar bleek voor een dos-aanval.

Eind augustus bracht de Apache Software Foundation versie 2.2.20 van zijn webserversoftware al uit om een eerder die maand ontdekt lek te dichten. De kwetsbaarheid kwam zowel voor in de 1.3.x- als in de 2.x-versies van Apaches httpd-server en betrof de manier waarop de software overlappende byte ranges in http-requests afhandelt. Enkele dagen later werd versie 2.2.21 uitgegeven, die ook aan het lek gerelateerd was.

Door de bug zou een webserver met een denial of service-aanval onderuit gehaald kunnen worden. Op de Apache-mailinglist werd het proof-of-concept-script Apache Killer gepubliceerd. De kwetsbaarheid in de serversoftware zou al actief misbruikt worden voor dos-aanvallen.

Ook Oracle waarschuwde bij zijn beveiligingsupdate voor de risico's en bevestigde dat het lek actief wordt misbruikt. De softwarefabrikant heeft besloten de update tussentijds te publiceren en niet te wachten tot de geplande patchdag. Oracle hanteert deze updatecyclus, vergelijkbaar met Microsofts Patch Tuesday, al sinds begin 2005 en is pas vier keer eerder van dat schema afgeweken.

Reacties (7)

Iemand enig idee of deze al ergens in een repository te vinden is voor CentOS 5.x ?
Apache is allang gepatcht, die patch zal wellicht in de centos-repo zitten.

Patches voor Oracle producten zal je daar niet vinden.
Inderdaad zeer verstandig dat ze deze patch hebben uitgebracht, de risico's waren aanzienlijk:

The vulnerability left over 60% of the world’s websites exposed to a denial of service attack. The problem revolved around how Apache handled byte range headers and due to a tool, which was published to demonstrate the problem, an attack could be easily launched and cause very significant memory and CPU usage on the target server.
Vraag blijft toch in hoeverrre webserver gepatched worden.
In de praktijk is al eerder gebleken dat heel veel beheerders van webservers heel traag zijn met updaten.
Overigens is er ook voor Oracle enterprise linux een public yum repository. Die bevat de updates ook al voor de EL 5 en 6 versies. (voordat je het vraagt: google eens op Oracle public yum repo)

Overigens moet ik een beetje hikken bij de titel van dit bericht: het is geen ongeplande patchronde; het is een 'onverwachte'. Het downloaden en installeren van de patch is immer iets dat de server beheerders nog steeds naar eigen inzicht kunnen inplannen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013