Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: Techworld.com

Tux (linux logo, kleiner met schaduw)Red Hat heeft afgelopen week een security advisory vrijgegeven waarin het bedrijf waarschuwt voor een lek dat kan ontstaan als gebruikgemaakt wordt van de Apache-module 'mod_auth_pgsql' in combinatie met een PostgreSQL-database voor gebruikersauthenticatie. Doordat de bewuste Apache-module een aantal lekken bevatte in de manier waarop wordt omgegaan met de logging van strings, kon kwaadaardige code uitgevoerd worden op het *nix-systeem. De uit te voeren code wordt overigens qua rechten beperkt tot de rechten die de Apache-user heeft op het *nix-systeem. Patches voor het probleem in 'mod_auth_pgsql' zijn door Red Hat vrijgegeven voor Red Hat Enterprise Linux versie 3 en 4 in de verschillende smaken en voor Red Hat Desktop 3 en 4. Ook onder meer Ubuntu en Mandriva hebben updates beschikbaar gesteld.

Moderatie-faq Wijzig weergave

Reacties (25)

Ik vraag me af hoe lang het duurt voor er ook wordt aangeraden om Apache in een chroot te gaan draaien. Met BIND en DHCPD gebeurt dit al, bijna als default, waarom niet met apache?
Dat zou IMHO erg veilig zijn, de lekken van PHP-scripts en dit soort lekken blijven dan beperkt tot de chroot jail.
Dat zou IMHO erg veilig zijn, de lekken van PHP-scripts en dit soort lekken blijven dan beperkt tot de chroot jail.
Dat is niet helemaal waar.. De bestanden die het script kunnen uitvoeren zijn beperkt tot de chroot. Het programma kan nog steeds communiceren met andere programma's op de server. Deze stap wordt op BSD geblokkeerd door een "jail". Linux heeft zo'n commando/feature nog niet.
Het programma kan nog steeds communiceren met andere programma's op de server.
Kun je deze zin eens wat beter uitleggen? Bedoel je hiermee dat je ook met programma's buiten de chroot omgeving kan communiceren? Dit zou toch niet moeten kunnen? Behalve dat via TCP/IP verbindingen.

Ik zet Apache ook altijd in een chroot omgeving. Dit doe ik met mod_security, maar het is eigenlijk beter op Apache met de hand in een chroot omgeving te zetten, aangezien mod_security alleen bestanden in de chroot omgeving zet die worden meegeladen met Apache.
Ik vraag me af hoe lang het duurt voor er ook wordt aangeraden om Apache in een chroot te gaan draaien. Met BIND en DHCPD gebeurt dit al, bijna als default, waarom niet met apache?
Volgens mij doen een hoop hosting providers dat al (wij in elk geval wel). Niet zo zeer omdat apache zo lek is, maar eerder omdat klant-scripts wel vaak lek zijn, en via via kun je dan toch een systeem binnen kruipen (onder Linux heb ik al een paar geroote bakken gezien, onder FreeBSD schijnt dat moeilijker te zijn)
Misschien niet moeilijker, maar in ieder geval onbekender. Linux is nou eenmaal populairder. Dit verhoogt de kans dat de 'hacker' weet hoe hij met het systeem om moet gaan en dat er een veiligheidsgat bekend is.
Misschien niet moeilijker, maar in ieder geval onbekender. Linux is nou eenmaal populairder.
Je zou het denken, maar ik heb al tijden het idee dat in hosting land FreeBSD meer populair is, en ook met name onder ISP's doet het OS het stukken beter dan Linux. (ik heb het hier over de wat meer serieuse hosters, niet die talloze hosting toko's van studenten met soms hele twijfelachtige kwaliteit)

Derhalve zou je toch verwachten dat het een 'target of interest' is onder hackers.... ISP systemen zitten vaak gekoppeld aan hele zware backbones, en zijn dus best intressant voor die gasten.
Turn around tijd om dit lek op te lossen en voor veelgebruikte distributies ook beschikbaar is minder dan een dag geweest. De snelheid voor oplossen van beveiligingproblemen in opensource land is nog altijd zeer hoog.
Het hangt alleen nog steeds van de klant af of die zijn beheer goed doet.
Een wijze opmerking, het is ook vaak het probleem dat de klant zelf geen kaas gegeten heeft van beheer... Om even in het eingebruikerspectrum te kijken: windows updaten?? hoezo, waarom zou ik dat doen, waar zit dat dan?
Voor mij de meest voorkomende reacties... En maar klagen dat de pc vol-loopt met ik weet niet wat aan "troep".. Maar beheren ho maar... Achja, de meeste mensen denken ook vaak dat een pc een soortiment broodrooster is wat het gewoon doet als men op de knop rost... Helaas is dat niet zo, het blijft een technisch hoogstandje wat zijn weg gewerkt heeft naar de huiskamer... Niets verkeerds aan, maar de meeste mensen hebben dat niet door. De huidige techniek is nog niet ver genoeg om de pc op de broodrooster te laten lijken zeg maar ;)
Maar goed, zonder deze scenario's had ik ook geen baan :P

Voor wat hoort wat hé.
Degene die niet weet waar windows update zit, draait geen apache met mod_auth_pgsql IMHO...
Tenzij diegene nooit windows heeft gebruikt, alleen linux :+
mm, dus alleen een apache module is lek, lijkt me niet echt "big news" but hey.

ik zet tegenwoordig ook chroot jails voor apache op. een verschil met bind is (dhcpd weet ik niet) is dat apache niet als root draait, bind wel. Ik heb hier nou gewoon een default apache unchrooted draaien (out-of-the box bij debian sarge) onder www-data.
verder lijkt het mij sowieso als je hoster bent, je klanten niet te vertrouwen wat betreft rotte scripts (intentional of gewoon ranzig geprogrammeerd) en het oplost met virtual hosting o.i.d., en ook je mysql goed onder de loep neemt.

toevoeging:
als je kan hacken onder linux (niet scriptkiddieen dus) hebn je meestal ook wel kaas gegeten van *bsd. afaik is freebsd ook veiliger (correct me if i'm wrong) dan linux, doordat het op een andere manier wordt ontwikkeld (minder snel en uitgebreid). tis iig een stuk stabieler (nofi naar linux, maar freebsd zijn nog steeds de meest stabiele webservers, check de stats) en als je dan toch voor veilig en bsd gaat, waarom zou je dan geen openbsd bouwen?
mm, dus alleen een apache module is lek, lijkt me niet echt "big news" but hey.
Tegenwoordig is elk veiligheidslek nieuws.
Dat er lekken zijn en ontstaan is voor mij niets nieuws meer...... :z
Apache-module 'mod_auth_pgsql' in combinatie met een PostgreSQL-database
Oh..kan je dan ook een oracle of db2 gebruiken met de 'mod_auth_pgsql?
Wel de module hebben, maar geen postgresql db gebruiken ("voor gebruikersauthenticatie").
Ipv chrooten gebruik ik gewoon xen of uml per gebruiker of per (groep) website(s). Of die crackers dan root hebben of niet, het is toch enkel maar op één VM instance.

Het beheer doe ik dan eerder per gebruiker (dus per virtual machine). Doet zo'n virtual machine lastig? Dan zetten we een backup van die virtual machine zijn LVM2 partitie terug bijvoorbeeld (En om die te nemen gebruik ik dan weer LVM2 snapshots). Natuurlijk nadat de snapshot teruggezet is, wil ik eerst weten wat er kwa security foutgelopen was, zodat ik het meteen ook effe kan fixen:

mount /dev/virtualmachines/username /mnt
chroot /mnt
apt-get update && apt-get upgrade
fix_security_problem.sh :-)
exit
umount /mnt
xm create username.xen.cfg -c

Verder wat monitorring (met oa. nagios) en traffic shaping aan de firewall zodat buitengaande traffic (behalve op bepaalde poorten) erg beperkt wordt.

Ik kan wel voorstellen dat dit voor grotere hosting firma's minder goed hanteerbaar wordt.
Laat het phpBB forum van mijn clans pagina nou gisteren een gigantische sql error gegeven hebben, ik meen het woord string gezien te hebben in de foutmelding ('t was laat al). Het hele domein is nu onbereikbaar :(
Dit heeft niks te maken met die module. Ik denk dat jij MySQL database gebruikt. Ook al gebruikte jij PostgreSQL, dan had dat niks met deze module te maken. Deze module regelt namelijk HTTP authenticatie met PostgreSQL als database. Dit heeft dus niks met PHP scripts te maken, maar echt met Apache.

In jouw geval verwacht ik een oudere versie van phpBB. Met dus een beveiligingslek in phpBB. phpBB is namelijk een erg populair stukje forum software en dus ook erg populair onder de hackers/scriptkiddies (vooral scriptkiddies). Volgens mij is die software zo lek als een mandje, als je ziet hoe snel er weer exploits voor bij komen.
Er is tot nu toe niets wat erop wijst dat er een significant verband is tussen populariteit van software en de kwetsbaarheid, dus die opmerking raakt kant noch wal ;)
Volgens mij kun je er niet verder vanaf zitten.

Of je het nu wilt of niet. MS-WIndows is veruit het populairste OS ter wereld. En daar wordt dan door de scene het hardts op gehakt.

Vergeet niet dat een aantal mensen het leuk schijnen te vinden, wat ik niet begrijp hoor, om in te breken op systemen. Een veel groter gedeele doet het puur voor de centen. En dus kun je dan maar beter een in grote getale verkopend OS hakken. Geeft meer resultaat.

enig idee wat een zombiePC opbrengt, of 1000 zombies?
Het gaat hier over server software, in de servermarkt is microsoft niet het populairste OS en al helemaal niet als het webservers betreft.

Voor webservers is apache het meest populair die dan meestal gedraaid wordt op een unix of linux. Als ik het goed heb is het marktaandel van apache/linux-unix meer dan 60%, maar zou wel is nog hoger kunnen zijn.

Apache is daarmee extreem populair en toch valt het aantal lekken mee, houdt daarbij ook rekening dat als er een lek in zit, meestal niet meteen het hele systeem overgenomen kan worden. Iets wat bij de producten van een erg groot bekend bedrijf bijna altijd wel het geval is.
Volgens mij kun je er niet verder vanaf zitten.

Of je het nu wilt of niet. MS-WIndows is veruit het populairste OS ter wereld. En daar wordt dan door de scene het hardts op gehakt
Dat geeft geen ondersteuning voor de aanname dat populaire solftware kwestbaarder is (zoals vele hier aannemen), IIS is lekker dan apache, toch wordt de laatste meer gebruikt, het feit dat windows zo lek is als een mandje (van tijd tot tijd) zegt bitter weinig over een relatie tussen het gebruik van bepaalde software en de mate van exploiteerbaarheid, dat zegt met over de slechte kwaliteit van de software, natuurlijk wordt een product naarmate het gebruik stijgt een interessanter doel voor crackers maar dat heeft geen invloed op de kwaliteit van de software ;)
Dit is echt niet het eerste lek in Apache hoor. Bovendien is Apache bijna altijd al populair geweest.
Dit is echt niet het eerste lek in Apache hoor.
het is niet eens een lek in apache zelf, zoals die wordt geleverd door Apache.org, maar in een third-party module voor apache.
Bovendien is Apache bijna altijd al populair geweest.
mwah, al jaren marktleider met gemiddeld zo'n 67% marktaandeel noem je populair? Ik moet je gelijk geven. ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True