Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: Securityfocus

De security bug, die onlangs in de Apache webserver werd gevonden, blijkt toch vrij eenvoudig te misbruiken zijn voor een succesvolle hackpoging, zo is te lezen op Securityfocus. Dit is opmerkelijk omdat de ontdekker van de bug het vermoeden uitsprak dat de fout geen direct beveiligingsrisico vormde voor 32-bit Unix systemen. De bug zou uitsluitend mogelijke problemen veroorzaken op 64-bit systemen en Apache voor Windows.

Apache logo Gobbles Security heeft echter het tegendeel bewezen door een exploit naar buiten te brengen die een command shell beschikbaar maakt op systemen die draaien op OpenBSD en een niet-gepachte Apache versie. De exploit is volgens Gobbles afgeleid van een multi-platform versie die reeds in november vorig jaar is ontwikkeld. Mogelijk zullen er ook exploits verschijnen voor andere platformen waaronder Sun Solaris, Linux en FreeBSD.

OpenBSD logo Volgens Securityfocus is uit een commentaar regel in de broncode van de exploit op te maken dat deze fout is misbruikt voor het hacken van Monkey.org. Toen werden een aantal programma's waaronder Dsniff en Fragroute voorzien van een backdoor. De Apache Software Foundation heeft een dag na de ontdekking van de bug reeds twee nieuwe versies van de Apache webserver gereleased. Het wordt, zeker nu de bug ook een daadwerkelijke bedreiging blijkt te zijn, iedereen ten zeerste aangeraden om te upgraden naar de gepatchte versies, 1.3.26 of 2.0.39:

In an e-mail interview Thursday, Gobbles Security said it released the code because it had reached a "breaking point" following comments about the flaw this week from other security professionals.

"We had read too much bullshit from `experts' concerning the bug, and their idiotic statements as to why it isn't exploitable, and how lucky the world is because it wasn't exploitable," said Gobbles.

[...] Chris Rouland, director of X-Force, said Thursday that ISS has confirmed that the Gobbles exploit works against OpenBSD.

"Yesterday this was just a vulnerability. Today, it's a threat. The entire world population of hackers is now armed with a tool to break into OpenBSD/Apache systems," he said.

Met dank aan drizze voor de tip.

Moderatie-faq Wijzig weergave

Reacties (47)

Als je toch bezig bent met patchen, kan je openssh ook maar beter ff doen:
http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/00004 1.html

Maar uiteindelijk ben je toch nog steeds minder aan het patchen dan met IIS/win2k ;)
Tja, wederom het hele verhaal linux vs microsoft.

http://securityfocus.com/vulns/stats.shtml

Zegt genoeg, je ziet hierin dat met de jaren de vulnerableties van linux omhoog schieten, omdat er simpelweg steeds meer gebruikers van Linux zijn.

Hoe zal de grafiek eruit zien als er net zoveel microsoft als linux users zijn ??

btw.
Vind het beetje "oud" nieuws. Stond de 20e al op bugtraq, inc. werkende link voor c progje.
Dan lees je de cijfers wel verkeerd. Dat is ook het grote euvel van securityfocus. Ze tellen alle vulnerabilities van alle RedHat releases bij elkaar op en van windows maken ze een onderverdeling.
Het heeft geen hol te maken met Linux vs Microsoft. Wanneer gaan mensen nou eens kappen met op Linux te zijken als er een exploit zit in een programma dat onder Linux kan draaien. Je kunt Microsoft ook moeilijk de schuld geven van exploits in ICQ of whatever.
Bij securotyfocus worden alle fouten van een distributie op een hoop gegooid. Nogal wiedes dat er op die 6 cd's van RedHat meer bugs zitten dan op die ene van Microsoft. Zo'n vergelijking slaat dan ook helemaal nergens op. Bij Redhat komt gewoon erg veel extra software.
In die statistieken is Debian ook "onveilig", maar das niet zo vreemd als je de 6000 packages die ze hebben gaat bekijken, dan valt het nog reuze mee zelfs.
Ik weet zeker als het gaat om Linux als basissysteem, dat het er dan hoogstens 5 tot 10 exploits per jaar zullen zijn, maar dan reken je dus niet die hele shitload aan applicaties van Redhat of Debian mee.
Maar aan de andere kant wel een snelle reactie hierop. Wil bij sommige fabrikanten (ik noem geen namen) wel eens wat langer duren


Maar dit is met OpenBSD. Hoe lang zou het duren voordat ze ooit een gat in een apache server op een ander platform ontdekken... of zit dat wel waterdicht?
Maar dit is met OpenBSD. Hoe lang zou het duren voordat ze ooit een gat in een apache server op een ander platform ontdekken...
Ik ga daar niet op wachten en zometeen update ik mijn Apache 1.3 onder Win NT ook maar even, want:
We have been made aware that Apache 1.3 on Windows is exploitable in a similar way as well
Apache op Windows was al zo goed als zeker exploitable. ISS vermelde alleen eerder dat Apache op 32-bit *nix systemen waarschijnlijk niet exploitable zou zijn. Dit is dus echter wel degelijk het geval. Het is sowieso nu wel ernstig aan te raden je apache te updaten.
Maar dit is met OpenBSD. Hoe lang zou het duren voordat ze ooit een gat in een apache server op een ander platform ontdekken... of zit dat wel waterdicht?
Als je het artikel nu gelezen had, dan had je gezien:
De exploit is volgens Gobbles afgeleid van een multi-platform versie die reeds in november vorig jaar is ontwikkeld. Gobbles. Mogelijk zullen er ook exploits verschijnen voor andere platformen waaronder Sun Solaris, Linux en FreeBSD.
Niet zo heel lang dus...
Het probleem is dat je op geen enkele wijze kan bewijzen dat een progje (hoe simpel ook) helemaal bug-vrij is... Dit hoeft niet eens de schuld van het progje te zijn, maar kan ook ontstaan door de combinatie met het OS o.i.d.

Naar mijn mening is niets waterdicht en is het vrijwel onmogelijk om te zeggen "Ons progje bevat geen fouten"! (Het aantal mogelijke fouten is uiteraard wel ongeveer evenredig met het aantal regels code dat ingetypt wordt)
Oh, jawel hoor.
Je kan software wiskundig bewijzen. Probleem is echter dat dit extreeeeem veel werk is, en dus heeel erg kostbaar, en dus nooit wordt gedaan. Ik geloof dat het wel gedaan wordt voor sommige kritieke militaire systemen.
99,99% van de software is echter: proggen, testen, wat hacktests, en als dat niet lukt is het DUS veilig.
Maar, SW bewijzen KAN dus wel.
Nee, het kan dus niet. Standeman refereert aan fouten die ontstaan als het progsel gecombineerd wordt met andere progsels. Fouten die dan ontstaan kunnen NIET ondervangen worden, anders dan met een wiskundig bewijs van het correct samenwerken. En aangezien je geen wiskundig bewijs kan vinden voor het correct functioneren van andere progsels...

Het wordt gelukkig steeds populairder om op een formele manier te programmeren. NASA en ESA zijn bijvoorbeeld twee grote spelers, maar ook Boeing. Het probleem blijft echter dat je maar twee dingen kan bewijzen: het progsel doet wat het moet doen en doet niet wat het niet zou mogen doen. Gebruik buiten het gebruikscript kun je nooit "bewijzen". Als de programmeurs van bepaalde functionaliteit niet inzien dat het misbruikt kan worden, is er wiskundig niets mis met het programma, en toch spreken we van een fout in het programma.
Het kan dus theoretisch wel, je moet dan het geheel doorrekenen en niet alleen het losstaande programma.
Of het praktisch kan is een andere zaak.
Die uitspraak was zowiezo niet juist, aangezien de fout die ze nu ontdekt hebben er reeds langer inzat maar gewoon nog niet gevonden was... Dus een uitspraak als "Five years without a known/exploited hole in the default install" zou accurater geweest zijn.
Dit is trouwens wel een goed bewijs voor het feit dat zo goed als alle software fouten bevat, maar dat ze enkel ontdekt moeten worden...

edit:

Was eigenlijk reactie op Martin Sturm...
De remote exploit bestaat ook voor andere UNIXen.
Het beste is om de vendor patch te installeren of om een nieuwe installtie te doen van de laatste 1.3.xx of 2.x dan zit je goed.
Van wie is die uitspraak van "Five years without a remote hole in the default install"?
theo de raadt van openbsd, of zen marketing afdeling. Default heeft openbsd gewoon bijna geen services openstaan dus ook geen apache. Voor de gobbles exploit was ook meer nodig dan de apache bug maar ook een local exploit voor openbsd, die ze verstandig genoeg niet in hun script hadden neer gezet. Tevens raad ik ook iedereen aan van apache te updaten. Het gerucht op bugtraq gaat dat de exploit al langer circuleerde.
Aha, dus de exploit werkt alleen maar als er ook nog een andere bug (in een ander programma) aanwezig is. Dus als je bij wijze van spreken alleen Apache geinstalleerd zou hebben dan is het niet exploiteerbaar...
in dit geval de openbsd kernel. uit de source van gobbles

* Abusing the right syscalls, any exploit against OpenBSD == root. Kernel bugs are great.

sprintf(expbuf, "uname -a;id;echo hehe, now use 0day OpenBSD local kernel exploit to gain instant r00t\n");
http://www.openbsd.org
Noot dus ook dat Apache niet tot de default install behoort ('t is geen Windows OS dat alles by default aan heeft...)
Sinds wanneer wordt IIS per default geinstalleerd?
Sinds Windows2000
TheLevel:
Sinds Windows2000

Niet dus ... IIS MOET als aditioneel component worden geinstalleerd en wordt NOOOIT default geinstalleerd.

Sybesma heeft gelijk ...
wie installeerd er dan ook een default install??

het is nooit een goed idee om een default install te doen, je weet dan nooit wat voor een "troep" er allemaal geinstalleerd wordt. :P
Dat is dus niet waar. Internet Information Services staat default uit in Win2K. Je moet het NA installatie expliciet aanvinken om het te installeren.
klopt. Volgens mij wordt er wel e.e.a. ge´nstalleerd, maar staat de service inderdaad standaard disabled.
Bij 2000 Server en Advanced Server staat IIS default op installeren, bij professional niet.
\[off-topic]
Het Gobbles Security heeft echter het tegendeel bewezen door een exploit naar buiten te brengen die een command shell beschikbaar maakt op systemen die draaien op OpenBSD en een niet-gepachte Apache versie.
Een van de betere typos ;)
\[/off-topic]
Misschien leuk om te weten:
Vroeger rond 1995 was er eigenlijk maar 1 webserver software NCSA. Maar aangezien deze veel bugs had besloten programmeurs een nieuwe versie te maken "A Pached Version"
Zo is Apache ontstaan...
Was het niet:
"A Patchy Server"
i.p.v. "A Pached Version" dat ligt ook dichter bij de naam en uitspraak Apache Server? Vindt ik ook veel grappiger dan :)
Sommige progjes zijn wel gegarandeerd bugvrij hoor.
Ik heb ooit een bugvrije "Hello World" geschreven.
Totdat het OS lek is met je print funtion....
Five years without a remote hole in the default install!
Volgens mij kunnen ze die uitspraak nu wel schrappen :?

[edit]Niet dus :o |:(
Het is geeen windows 2k server waarbij standaar een webserver draaid.

BSD komt standaart met gewoon heel weinig services aan, en de webserver staat ook gewoon uit, dus een default install is niet lek!
BSD komt standaart met gewoon heel weinig services aan, en de webserver staat ook gewoon uit, dus een default install is niet lek!
Niet helemaal mee eens.
Denk dat ze de Default installation van Apache bedoelen en niet die van het OS waar Apache op draaid.
Zit apache in de default install dan ....
inmiddels zijn beide exploits al in the wild ( ik vond ze net op packetstorm )

dat word dus snel updaten voor alle root's

ps: de exploit die ook op freebsd en netbsd werkt heet apache-nosejob.c
Helaas heeft RedHat nog niet de allerlaatste patch beschikbaar, maar voor degene die wel een gedeeltelijke patch willen aanbrengen is de volgende link wel handig:

http://rhn.redhat.com/errata/RHSA-2002-103.html
Ze kunnen het programma beter Apatchet Webserver noemen..... :>
Makkelijk he?
Commentaar leveren en zelf niks presteren.
Apache server betekent ook letterlijk 'A Patchy Server'
meteen me Apache maar even geupdate vanaf werk :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True