Lek in Apache-software toch exploiteerbaar

De security bug, die onlangs in de Apache webserver werd gevonden, blijkt toch vrij eenvoudig te misbruiken zijn voor een succesvolle hackpoging, zo is te lezen op Securityfocus. Dit is opmerkelijk omdat de ontdekker van de bug het vermoeden uitsprak dat de fout geen direct beveiligingsrisico vormde voor 32-bit Unix systemen. De bug zou uitsluitend mogelijke problemen veroorzaken op 64-bit systemen en Apache voor Windows.

Gobbles Security heeft echter het tegendeel bewezen door een exploit naar buiten te brengen die een command shell beschikbaar maakt op systemen die draaien op OpenBSD en een niet-gepachte Apache versie. De exploit is volgens Gobbles afgeleid van een multi-platform versie die reeds in november vorig jaar is ontwikkeld. Mogelijk zullen er ook exploits verschijnen voor andere platformen waaronder Sun Solaris, Linux en FreeBSD.

OpenBSD logo Volgens Securityfocus is uit een commentaar regel in de broncode van de exploit op te maken dat deze fout is misbruikt voor het hacken van Monkey.org. Toen werden een aantal programma's waaronder Dsniff en Fragroute voorzien van een backdoor. De Apache Software Foundation heeft een dag na de ontdekking van de bug reeds twee nieuwe versies van de Apache webserver gereleased. Het wordt, zeker nu de bug ook een daadwerkelijke bedreiging blijkt te zijn, iedereen ten zeerste aangeraden om te upgraden naar de gepatchte versies, 1.3.26 of 2.0.39:

In an e-mail interview Thursday, Gobbles Security said it released the code because it had reached a "breaking point" following comments about the flaw this week from other security professionals.

"We had read too much bullshit from `experts' concerning the bug, and their idiotic statements as to why it isn't exploitable, and how lucky the world is because it wasn't exploitable," said Gobbles.

[...] Chris Rouland, director of X-Force, said Thursday that ISS has confirmed that the Gobbles exploit works against OpenBSD.

"Yesterday this was just a vulnerability. Today, it's a threat. The entire world population of hackers is now armed with a tool to break into OpenBSD/Apache systems," he said.

Met dank aan Verwijderd voor de tip.

Lees meer

Reacties (47)

dikkechill 25 juni 2002 12:38

Als je toch bezig bent met patchen, kan je openssh ook maar beter ff doen:
http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/00004 1.html

Maar uiteindelijk ben je toch nog steeds minder aan het patchen dan met IIS/win2k

Remco @dikkechill • 25 juni 2002 12:42

Tja, wederom het hele verhaal linux vs microsoft.

http://securityfocus.com/vulns/stats.shtml

Zegt genoeg, je ziet hierin dat met de jaren de vulnerableties van linux omhoog schieten, omdat er simpelweg steeds meer gebruikers van Linux zijn.

Hoe zal de grafiek eruit zien als er net zoveel microsoft als linux users zijn ??

btw.
Vind het beetje "oud" nieuws. Stond de 20e al op bugtraq, inc. werkende link voor c progje.

servies @Remco • 25 juni 2002 13:13

Dan lees je de cijfers wel verkeerd. Dat is ook het grote euvel van securityfocus. Ze tellen alle vulnerabilities van alle RedHat releases bij elkaar op en van windows maken ze een onderverdeling.

RG @Remco • 25 juni 2002 14:26

Het heeft geen hol te maken met Linux vs Microsoft. Wanneer gaan mensen nou eens kappen met op Linux te zijken als er een exploit zit in een programma dat onder Linux kan draaien. Je kunt Microsoft ook moeilijk de schuld geven van exploits in ICQ of whatever.
Bij securotyfocus worden alle fouten van een distributie op een hoop gegooid. Nogal wiedes dat er op die 6 cd's van RedHat meer bugs zitten dan op die ene van Microsoft. Zo'n vergelijking slaat dan ook helemaal nergens op. Bij Redhat komt gewoon erg veel extra software.
In die statistieken is Debian ook "onveilig", maar das niet zo vreemd als je de 6000 packages die ze hebben gaat bekijken, dan valt het nog reuze mee zelfs.
Ik weet zeker als het gaat om Linux als basissysteem, dat het er dan hoogstens 5 tot 10 exploits per jaar zullen zijn, maar dan reken je dus niet die hele shitload aan applicaties van Redhat of Debian mee.

Ordos20 25 juni 2002 10:26

Maar aan de andere kant wel een snelle reactie hierop. Wil bij sommige fabrikanten (ik noem geen namen) wel eens wat langer duren

Maar dit is met OpenBSD. Hoe lang zou het duren voordat ze ooit een gat in een apache server op een ander platform ontdekken... of zit dat wel waterdicht?

PowerFlower @Ordos20 • 25 juni 2002 10:50

Maar dit is met OpenBSD. Hoe lang zou het duren voordat ze ooit een gat in een apache server op een ander platform ontdekken...

Ik ga daar niet op wachten en zometeen update ik mijn Apache 1.3 onder Win NT ook maar even, want:

We have been made aware that Apache 1.3 on Windows is exploitable in a similar way as well

Auteur

Martin Sturm @PowerFlower • 25 juni 2002 14:26

Apache op Windows was al zo goed als zeker exploitable. ISS vermelde alleen eerder dat Apache op 32-bit *nix systemen waarschijnlijk niet exploitable zou zijn. Dit is dus echter wel degelijk het geval. Het is sowieso nu wel ernstig aan te raden je apache te updaten.

Verwijderd @Ordos20 • 25 juni 2002 10:33

Maar dit is met OpenBSD. Hoe lang zou het duren voordat ze ooit een gat in een apache server op een ander platform ontdekken... of zit dat wel waterdicht?

Als je het artikel nu gelezen had, dan had je gezien:

De exploit is volgens Gobbles afgeleid van een multi-platform versie die reeds in november vorig jaar is ontwikkeld. Gobbles. Mogelijk zullen er ook exploits verschijnen voor andere platformen waaronder Sun Solaris, Linux en FreeBSD.

Niet zo heel lang dus...

Standeman @Ordos20 • 25 juni 2002 10:36

Het probleem is dat je op geen enkele wijze kan bewijzen dat een progje (hoe simpel ook) helemaal bug-vrij is... Dit hoeft niet eens de schuld van het progje te zijn, maar kan ook ontstaan door de combinatie met het OS o.i.d.

Naar mijn mening is niets waterdicht en is het vrijwel onmogelijk om te zeggen "Ons progje bevat geen fouten"! (Het aantal mogelijke fouten is uiteraard wel ongeveer evenredig met het aantal regels code dat ingetypt wordt)

PanMan @Standeman • 25 juni 2002 11:21

Oh, jawel hoor.
Je kan software wiskundig bewijzen. Probleem is echter dat dit extreeeeem veel werk is, en dus heeel erg kostbaar, en dus nooit wordt gedaan. Ik geloof dat het wel gedaan wordt voor sommige kritieke militaire systemen.
99,99% van de software is echter: proggen, testen, wat hacktests, en als dat niet lukt is het DUS veilig.
Maar, SW bewijzen KAN dus wel.

Verwijderd @PanMan • 25 juni 2002 11:37

Nee, het kan dus niet. Standeman refereert aan fouten die ontstaan als het progsel gecombineerd wordt met andere progsels. Fouten die dan ontstaan kunnen NIET ondervangen worden, anders dan met een wiskundig bewijs van het correct samenwerken. En aangezien je geen wiskundig bewijs kan vinden voor het correct functioneren van andere progsels...

Het wordt gelukkig steeds populairder om op een formele manier te programmeren. NASA en ESA zijn bijvoorbeeld twee grote spelers, maar ook Boeing. Het probleem blijft echter dat je maar twee dingen kan bewijzen: het progsel doet wat het moet doen en doet niet wat het niet zou mogen doen. Gebruik buiten het gebruikscript kun je nooit "bewijzen". Als de programmeurs van bepaalde functionaliteit niet inzien dat het misbruikt kan worden, is er wiskundig niets mis met het programma, en toch spreken we van een fout in het programma.

servies @PanMan • 25 juni 2002 11:54

Het kan dus theoretisch wel, je moet dan het geheel doorrekenen en niet alleen het losstaande programma.
Of het praktisch kan is een andere zaak.

TheLevel @Ordos20 • 25 juni 2002 10:37

Die uitspraak was zowiezo niet juist, aangezien de fout die ze nu ontdekt hebben er reeds langer inzat maar gewoon nog niet gevonden was... Dus een uitspraak als "Five years without a known/exploited hole in the default install" zou accurater geweest zijn.
Dit is trouwens wel een goed bewijs voor het feit dat zo goed als alle software fouten bevat, maar dat ze enkel ontdekt moeten worden...

edit:

Was eigenlijk reactie op Martin Sturm...

Marcel Loesberg 25 juni 2002 10:35

De remote exploit bestaat ook voor andere UNIXen.
Het beste is om de vendor patch te installeren of om een nieuwe installtie te doen van de laatste 1.3.xx of 2.x dan zit je goed.
Van wie is die uitspraak van "Five years without a remote hole in the default install"?

Verwijderd @Marcel Loesberg • 25 juni 2002 10:48

theo de raadt van openbsd, of zen marketing afdeling. Default heeft openbsd gewoon bijna geen services openstaan dus ook geen apache. Voor de gobbles exploit was ook meer nodig dan de apache bug maar ook een local exploit voor openbsd, die ze verstandig genoeg niet in hun script hadden neer gezet. Tevens raad ik ook iedereen aan van apache te updaten. Het gerucht op bugtraq gaat dat de exploit al langer circuleerde.

servies @Verwijderd • 25 juni 2002 11:50

Aha, dus de exploit werkt alleen maar als er ook nog een andere bug (in een ander programma) aanwezig is. Dus als je bij wijze van spreken alleen Apache geinstalleerd zou hebben dan is het niet exploiteerbaar...

Verwijderd @servies • 25 juni 2002 12:12

in dit geval de openbsd kernel. uit de source van gobbles

* Abusing the right syscalls, any exploit against OpenBSD == root. Kernel bugs are great.

sprintf(expbuf, "uname -a;id;echo hehe, now use 0day OpenBSD local kernel exploit to gain instant r00t\n");

Jordi @Marcel Loesberg • 25 juni 2002 10:47

http://www.openbsd.org
Noot dus ook dat Apache niet tot de default install behoort ('t is geen Windows OS dat alles by default aan heeft...)

Verwijderd @Jordi • 25 juni 2002 10:57

Sinds wanneer wordt IIS per default geinstalleerd?

TheLevel @Verwijderd • 25 juni 2002 11:01

Sinds Windows2000

cablepokerface @Verwijderd • 25 juni 2002 12:48

TheLevel:
Sinds Windows2000

Niet dus ... IIS MOET als aditioneel component worden geinstalleerd en wordt NOOOIT default geinstalleerd.

Sybesma heeft gelijk ...

Erkens @Verwijderd • 25 juni 2002 11:09

wie installeerd er dan ook een default install??

het is nooit een goed idee om een default install te doen, je weet dan nooit wat voor een "troep" er allemaal geinstalleerd wordt.

watzie @Verwijderd • 25 juni 2002 11:52

Dat is dus niet waar. Internet Information Services staat default uit in Win2K. Je moet het NA installatie expliciet aanvinken om het te installeren.

Verwijderd @Verwijderd • 25 juni 2002 11:58

klopt. Volgens mij wordt er wel e.e.a. geïnstalleerd, maar staat de service inderdaad standaard disabled.

axis @Verwijderd • 25 juni 2002 12:06

Bij 2000 Server en Advanced Server staat IIS default op installeren, bij professional niet.

leonardo1504 25 juni 2002 10:45

[off-topic]

Het Gobbles Security heeft echter het tegendeel bewezen door een exploit naar buiten te brengen die een command shell beschikbaar maakt op systemen die draaien op OpenBSD en een niet-gepachte Apache versie.

Een van de betere typos

[/off-topic]

Pwigle @leonardo1504 • 25 juni 2002 12:27

Misschien leuk om te weten:
Vroeger rond 1995 was er eigenlijk maar 1 webserver software NCSA. Maar aangezien deze veel bugs had besloten programmeurs een nieuwe versie te maken "A Pached Version"
Zo is Apache ontstaan...

Verwijderd @Pwigle • 26 juni 2002 10:52

Was het niet:
"A Patchy Server"
i.p.v. "A Pached Version" dat ligt ook dichter bij de naam en uitspraak Apache Server? Vindt ik ook veel grappiger dan

Auteur

Martin Sturm @leonardo1504 • 25 juni 2002 10:58

Ook gefixed

Dionysus007281 25 juni 2002 11:00

Sommige progjes zijn wel gegarandeerd bugvrij hoor.
Ik heb ooit een bugvrije "Hello World" geschreven.

_-= Erikje =-_ @Dionysus007281 • 25 juni 2002 11:04

Totdat het OS lek is met je print funtion....

[ti] @_-= Erikje =-_ • 25 juni 2002 11:20

But, do you trust your compiler?

Auteur

Martin Sturm 25 juni 2002 10:23

Five years without a remote hole in the default install!

Volgens mij kunnen ze die uitspraak nu wel schrappen

[edit]Niet dus

HermeS @Martin Sturm • 25 juni 2002 10:31

Het is geeen windows 2k server waarbij standaar een webserver draaid.

BSD komt standaart met gewoon heel weinig services aan, en de webserver staat ook gewoon uit, dus een default install is niet lek!

Verwijderd @HermeS • 25 juni 2002 19:45

BSD komt standaart met gewoon heel weinig services aan, en de webserver staat ook gewoon uit, dus een default install is niet lek!

Niet helemaal mee eens.
Denk dat ze de Default installation van Apache bedoelen en niet die van het OS waar Apache op draaid.

Jive @Martin Sturm • 25 juni 2002 10:31

Zit apache in de default install dan ....

Verwijderd 25 juni 2002 11:03

inmiddels zijn beide exploits al in the wild ( ik vond ze net op packetstorm )

dat word dus snel updaten voor alle root's

ps: de exploit die ook op freebsd en netbsd werkt heet apache-nosejob.c

Verwijderd 25 juni 2002 22:26

Helaas heeft RedHat nog niet de allerlaatste patch beschikbaar, maar voor degene die wel een gedeeltelijke patch willen aanbrengen is de volgende link wel handig:

http://rhn.redhat.com/errata/RHSA-2002-103.html