De security bug, die onlangs in de Apache webserver werd gevonden, blijkt toch vrij eenvoudig te misbruiken zijn voor een succesvolle hackpoging, zo is te lezen op Securityfocus. Dit is opmerkelijk omdat de ontdekker van de bug het vermoeden uitsprak dat de fout geen direct beveiligingsrisico vormde voor 32-bit Unix systemen. De bug zou uitsluitend mogelijke problemen veroorzaken op 64-bit systemen en Apache voor Windows.
Gobbles Security heeft echter het tegendeel bewezen door een exploit naar buiten te brengen die een command shell beschikbaar maakt op systemen die draaien op OpenBSD en een niet-gepachte Apache versie. De exploit is volgens Gobbles afgeleid van een multi-platform versie die reeds in november vorig jaar is ontwikkeld. Mogelijk zullen er ook exploits verschijnen voor andere platformen waaronder Sun Solaris, Linux en FreeBSD.
Volgens Securityfocus is uit een commentaar regel in de broncode van de exploit op te maken dat deze fout is misbruikt voor het hacken van Monkey.org. Toen werden een aantal programma's waaronder Dsniff en Fragroute voorzien van een backdoor. De Apache Software Foundation heeft een dag na de ontdekking van de bug reeds twee nieuwe versies van de Apache webserver gereleased. Het wordt, zeker nu de bug ook een daadwerkelijke bedreiging blijkt te zijn, iedereen ten zeerste aangeraden om te upgraden naar de gepatchte versies, 1.3.26 of 2.0.39:
In an e-mail interview Thursday, Gobbles Security said it released the code because it had reached a "breaking point" following comments about the flaw this week from other security professionals.
"We had read too much bullshit from `experts' concerning the bug, and their idiotic statements as to why it isn't exploitable, and how lucky the world is because it wasn't exploitable," said Gobbles.
[...] Chris Rouland, director of X-Force, said Thursday that ISS has confirmed that the Gobbles exploit works against OpenBSD.
"Yesterday this was just a vulnerability. Today, it's a threat. The entire world population of hackers is now armed with a tool to break into OpenBSD/Apache systems," he said.
Met dank aan Verwijderd voor de tip.