Red Hat heeft afgelopen week een security advisory vrijgegeven waarin het bedrijf waarschuwt voor een lek dat kan ontstaan als gebruikgemaakt wordt van de Apache-module 'mod_auth_pgsql' in combinatie met een PostgreSQL-database voor gebruikersauthenticatie. Doordat de bewuste Apache-module een aantal lekken bevatte in de manier waarop wordt omgegaan met de logging van strings, kon kwaadaardige code uitgevoerd worden op het *nix-systeem. De uit te voeren code wordt overigens qua rechten beperkt tot de rechten die de Apache-user heeft op het *nix-systeem. Patches voor het probleem in 'mod_auth_pgsql' zijn door Red Hat vrijgegeven voor Red Hat Enterprise Linux versie 3 en 4 in de verschillende smaken en voor Red Hat Desktop 3 en 4. Ook onder meer Ubuntu en Mandriva hebben updates beschikbaar gesteld.
Kritieke bug in Apache-authenticatie via PostgreSQL
Lees meer
IIS blijft langzaam aandeel van Apache afsnoepen
Nieuws van 7 augustus 2007
Red Hat lanceert bètaversie RHEL 5 met Xen
Nieuws van 11 september 2006
Mede-oprichter Mandriva is door eigen bedrijf ontslagen
Nieuws van 17 maart 2006
Veiligheidsfout Ubuntu onthult password
Nieuws van 13 maart 2006
Sun kondigt PostgreSQL-ondersteuning aan
Nieuws van 18 november 2005
Databaseproducenten merken invloed open source
Nieuws van 14 juli 2005
MySQL en PostgreSQL zoeken toenadering tot bedrijven
Nieuws van 8 januari 2005
Apple releast patches voor (on-)bekende veiligheidsbugs
Nieuws van 6 mei 2004
Apache worm actief op FreeBSD servers
Nieuws van 29 juni 2002
Veiligheidsgaten in Apache Mod_Rewrite en IE5.5
Nieuws van 27 september 2000
Reacties (25)
Ik vraag me af hoe lang het duurt voor er ook wordt aangeraden om Apache in een chroot te gaan draaien. Met BIND en DHCPD gebeurt dit al, bijna als default, waarom niet met apache?
Dat zou IMHO erg veilig zijn, de lekken van PHP-scripts en dit soort lekken blijven dan beperkt tot de chroot jail.
Dat zou IMHO erg veilig zijn, de lekken van PHP-scripts en dit soort lekken blijven dan beperkt tot de chroot jail.
:strip_icc():strip_exif()/u/68401/crop621367cd595e0_cropped.jpg?f=community){kind=small}
Dat is niet helemaal waar.. De bestanden die het script kunnen uitvoeren zijn beperkt tot de chroot. Het programma kan nog steeds communiceren met andere programma's op de server. Deze stap wordt op BSD geblokkeerd door een "jail". Linux heeft zo'n commando/feature nog niet.Dat zou IMHO erg veilig zijn, de lekken van PHP-scripts en dit soort lekken blijven dan beperkt tot de chroot jail.
:strip_icc():strip_exif()/u/49396/icoon.jpg?f=community){kind=small}
Kun je deze zin eens wat beter uitleggen? Bedoel je hiermee dat je ook met programma's buiten de chroot omgeving kan communiceren? Dit zou toch niet moeten kunnen? Behalve dat via TCP/IP verbindingen.Het programma kan nog steeds communiceren met andere programma's op de server.
Ik zet Apache ook altijd in een chroot omgeving. Dit doe ik met mod_security, maar het is eigenlijk beter op Apache met de hand in een chroot omgeving te zetten, aangezien mod_security alleen bestanden in de chroot omgeving zet die worden meegeladen met Apache.
Volgens mij doen een hoop hosting providers dat al (wij in elk geval wel). Niet zo zeer omdat apache zo lek is, maar eerder omdat klant-scripts wel vaak lek zijn, en via via kun je dan toch een systeem binnen kruipen (onder Linux heb ik al een paar geroote bakken gezien, onder FreeBSD schijnt dat moeilijker te zijn)Ik vraag me af hoe lang het duurt voor er ook wordt aangeraden om Apache in een chroot te gaan draaien. Met BIND en DHCPD gebeurt dit al, bijna als default, waarom niet met apache?
Misschien niet moeilijker, maar in ieder geval onbekender. Linux is nou eenmaal populairder. Dit verhoogt de kans dat de 'hacker' weet hoe hij met het systeem om moet gaan en dat er een veiligheidsgat bekend is.
Je zou het denken, maar ik heb al tijden het idee dat in hosting land FreeBSD meer populair is, en ook met name onder ISP's doet het OS het stukken beter dan Linux. (ik heb het hier over de wat meer serieuse hosters, niet die talloze hosting toko's van studenten met soms hele twijfelachtige kwaliteit)Misschien niet moeilijker, maar in ieder geval onbekender. Linux is nou eenmaal populairder.
Derhalve zou je toch verwachten dat het een 'target of interest' is onder hackers.... ISP systemen zitten vaak gekoppeld aan hele zware backbones, en zijn dus best intressant voor die gasten.
Turn around tijd om dit lek op te lossen en voor veelgebruikte distributies ook beschikbaar is minder dan een dag geweest. De snelheid voor oplossen van beveiligingproblemen in opensource land is nog altijd zeer hoog.
Het hangt alleen nog steeds van de klant af of die zijn beheer goed doet.
Het hangt alleen nog steeds van de klant af of die zijn beheer goed doet.
Een wijze opmerking, het is ook vaak het probleem dat de klant zelf geen kaas gegeten heeft van beheer... Om even in het eingebruikerspectrum te kijken: windows updaten?? hoezo, waarom zou ik dat doen, waar zit dat dan?
Voor mij de meest voorkomende reacties... En maar klagen dat de pc vol-loopt met ik weet niet wat aan "troep".. Maar beheren ho maar... Achja, de meeste mensen denken ook vaak dat een pc een soortiment broodrooster is wat het gewoon doet als men op de knop rost... Helaas is dat niet zo, het blijft een technisch hoogstandje wat zijn weg gewerkt heeft naar de huiskamer... Niets verkeerds aan, maar de meeste mensen hebben dat niet door. De huidige techniek is nog niet ver genoeg om de pc op de broodrooster te laten lijken zeg maar
Maar goed, zonder deze scenario's had ik ook geen baan
Voor wat hoort wat hé.
Voor mij de meest voorkomende reacties... En maar klagen dat de pc vol-loopt met ik weet niet wat aan "troep".. Maar beheren ho maar... Achja, de meeste mensen denken ook vaak dat een pc een soortiment broodrooster is wat het gewoon doet als men op de knop rost... Helaas is dat niet zo, het blijft een technisch hoogstandje wat zijn weg gewerkt heeft naar de huiskamer... Niets verkeerds aan, maar de meeste mensen hebben dat niet door. De huidige techniek is nog niet ver genoeg om de pc op de broodrooster te laten lijken zeg maar
Maar goed, zonder deze scenario's had ik ook geen baan
Voor wat hoort wat hé.
Degene die niet weet waar windows update zit, draait geen apache met mod_auth_pgsql IMHO...
Tenzij diegene nooit windows heeft gebruikt, alleen linux 
:strip_exif()/u/16675/prodigy-icon.gif?f=community){kind=icon}
mm, dus alleen een apache module is lek, lijkt me niet echt "big news" but hey.
ik zet tegenwoordig ook chroot jails voor apache op. een verschil met bind is (dhcpd weet ik niet) is dat apache niet als root draait, bind wel. Ik heb hier nou gewoon een default apache unchrooted draaien (out-of-the box bij debian sarge) onder www-data.
verder lijkt het mij sowieso als je hoster bent, je klanten niet te vertrouwen wat betreft rotte scripts (intentional of gewoon ranzig geprogrammeerd) en het oplost met virtual hosting o.i.d., en ook je mysql goed onder de loep neemt.
toevoeging:
als je kan hacken onder linux (niet scriptkiddieen dus) hebn je meestal ook wel kaas gegeten van *bsd. afaik is freebsd ook veiliger (correct me if i'm wrong) dan linux, doordat het op een andere manier wordt ontwikkeld (minder snel en uitgebreid). tis iig een stuk stabieler (nofi naar linux, maar freebsd zijn nog steeds de meest stabiele webservers, check de stats) en als je dan toch voor veilig en bsd gaat, waarom zou je dan geen openbsd bouwen?
ik zet tegenwoordig ook chroot jails voor apache op. een verschil met bind is (dhcpd weet ik niet) is dat apache niet als root draait, bind wel. Ik heb hier nou gewoon een default apache unchrooted draaien (out-of-the box bij debian sarge) onder www-data.
verder lijkt het mij sowieso als je hoster bent, je klanten niet te vertrouwen wat betreft rotte scripts (intentional of gewoon ranzig geprogrammeerd) en het oplost met virtual hosting o.i.d., en ook je mysql goed onder de loep neemt.
toevoeging:
als je kan hacken onder linux (niet scriptkiddieen dus) hebn je meestal ook wel kaas gegeten van *bsd. afaik is freebsd ook veiliger (correct me if i'm wrong) dan linux, doordat het op een andere manier wordt ontwikkeld (minder snel en uitgebreid). tis iig een stuk stabieler (nofi naar linux, maar freebsd zijn nog steeds de meest stabiele webservers, check de stats) en als je dan toch voor veilig en bsd gaat, waarom zou je dan geen openbsd bouwen?
Tegenwoordig is elk veiligheidslek nieuws.mm, dus alleen een apache module is lek, lijkt me niet echt "big news" but hey.
:strip_icc():strip_exif()/u/5677/crop60a67856c31dd_cropped.jpg?f=community){kind=small}
Dat er lekken zijn en ontstaan is voor mij niets nieuws meer...... 
Oh..kan je dan ook een oracle of db2 gebruiken met de 'mod_auth_pgsql?Apache-module 'mod_auth_pgsql' in combinatie met een PostgreSQL-database
:strip_icc():strip_exif()/u/112893/pic_1.jpg?f=community){kind=small}
Wel de module hebben, maar geen postgresql db gebruiken ("voor gebruikersauthenticatie").
Laat het phpBB forum van mijn clans pagina nou gisteren een gigantische sql error gegeven hebben, ik meen het woord string gezien te hebben in de foutmelding ('t was laat al). Het hele domein is nu onbereikbaar 
Dit heeft niks te maken met die module. Ik denk dat jij MySQL database gebruikt. Ook al gebruikte jij PostgreSQL, dan had dat niks met deze module te maken. Deze module regelt namelijk HTTP authenticatie met PostgreSQL als database. Dit heeft dus niks met PHP scripts te maken, maar echt met Apache.
In jouw geval verwacht ik een oudere versie van phpBB. Met dus een beveiligingslek in phpBB. phpBB is namelijk een erg populair stukje forum software en dus ook erg populair onder de hackers/scriptkiddies (vooral scriptkiddies). Volgens mij is die software zo lek als een mandje, als je ziet hoe snel er weer exploits voor bij komen.
In jouw geval verwacht ik een oudere versie van phpBB. Met dus een beveiligingslek in phpBB. phpBB is namelijk een erg populair stukje forum software en dus ook erg populair onder de hackers/scriptkiddies (vooral scriptkiddies). Volgens mij is die software zo lek als een mandje, als je ziet hoe snel er weer exploits voor bij komen.
Ipv chrooten gebruik ik gewoon xen of uml per gebruiker of per (groep) website(s). Of die crackers dan root hebben of niet, het is toch enkel maar op één VM instance.
Het beheer doe ik dan eerder per gebruiker (dus per virtual machine). Doet zo'n virtual machine lastig? Dan zetten we een backup van die virtual machine zijn LVM2 partitie terug bijvoorbeeld (En om die te nemen gebruik ik dan weer LVM2 snapshots). Natuurlijk nadat de snapshot teruggezet is, wil ik eerst weten wat er kwa security foutgelopen was, zodat ik het meteen ook effe kan fixen:
mount /dev/virtualmachines/username /mnt
chroot /mnt
apt-get update && apt-get upgrade
fix_security_problem.sh :-)
exit
umount /mnt
xm create username.xen.cfg -c
Verder wat monitorring (met oa. nagios) en traffic shaping aan de firewall zodat buitengaande traffic (behalve op bepaalde poorten) erg beperkt wordt.
Ik kan wel voorstellen dat dit voor grotere hosting firma's minder goed hanteerbaar wordt.
Het beheer doe ik dan eerder per gebruiker (dus per virtual machine). Doet zo'n virtual machine lastig? Dan zetten we een backup van die virtual machine zijn LVM2 partitie terug bijvoorbeeld (En om die te nemen gebruik ik dan weer LVM2 snapshots). Natuurlijk nadat de snapshot teruggezet is, wil ik eerst weten wat er kwa security foutgelopen was, zodat ik het meteen ook effe kan fixen:
mount /dev/virtualmachines/username /mnt
chroot /mnt
apt-get update && apt-get upgrade
fix_security_problem.sh :-)
exit
umount /mnt
xm create username.xen.cfg -c
Verder wat monitorring (met oa. nagios) en traffic shaping aan de firewall zodat buitengaande traffic (behalve op bepaalde poorten) erg beperkt wordt.
Ik kan wel voorstellen dat dit voor grotere hosting firma's minder goed hanteerbaar wordt.
:strip_icc():strip_exif()/u/1100/crop5a1c5df8066e1_cropped.jpeg?f=community){kind=small}
Er is tot nu toe niets wat erop wijst dat er een significant verband is tussen populariteit van software en de kwetsbaarheid, dus die opmerking raakt kant noch wal
Volgens mij kun je er niet verder vanaf zitten.
Of je het nu wilt of niet. MS-WIndows is veruit het populairste OS ter wereld. En daar wordt dan door de scene het hardts op gehakt.
Vergeet niet dat een aantal mensen het leuk schijnen te vinden, wat ik niet begrijp hoor, om in te breken op systemen. Een veel groter gedeele doet het puur voor de centen. En dus kun je dan maar beter een in grote getale verkopend OS hakken. Geeft meer resultaat.
enig idee wat een zombiePC opbrengt, of 1000 zombies?
Of je het nu wilt of niet. MS-WIndows is veruit het populairste OS ter wereld. En daar wordt dan door de scene het hardts op gehakt.
Vergeet niet dat een aantal mensen het leuk schijnen te vinden, wat ik niet begrijp hoor, om in te breken op systemen. Een veel groter gedeele doet het puur voor de centen. En dus kun je dan maar beter een in grote getale verkopend OS hakken. Geeft meer resultaat.
enig idee wat een zombiePC opbrengt, of 1000 zombies?
Het gaat hier over server software, in de servermarkt is microsoft niet het populairste OS en al helemaal niet als het webservers betreft.
Voor webservers is apache het meest populair die dan meestal gedraaid wordt op een unix of linux. Als ik het goed heb is het marktaandel van apache/linux-unix meer dan 60%, maar zou wel is nog hoger kunnen zijn.
Apache is daarmee extreem populair en toch valt het aantal lekken mee, houdt daarbij ook rekening dat als er een lek in zit, meestal niet meteen het hele systeem overgenomen kan worden. Iets wat bij de producten van een erg groot bekend bedrijf bijna altijd wel het geval is.
Voor webservers is apache het meest populair die dan meestal gedraaid wordt op een unix of linux. Als ik het goed heb is het marktaandel van apache/linux-unix meer dan 60%, maar zou wel is nog hoger kunnen zijn.
Apache is daarmee extreem populair en toch valt het aantal lekken mee, houdt daarbij ook rekening dat als er een lek in zit, meestal niet meteen het hele systeem overgenomen kan worden. Iets wat bij de producten van een erg groot bekend bedrijf bijna altijd wel het geval is.
Dat geeft geen ondersteuning voor de aanname dat populaire solftware kwestbaarder is (zoals vele hier aannemen), IIS is lekker dan apache, toch wordt de laatste meer gebruikt, het feit dat windows zo lek is als een mandje (van tijd tot tijd) zegt bitter weinig over een relatie tussen het gebruik van bepaalde software en de mate van exploiteerbaarheid, dat zegt met over de slechte kwaliteit van de software, natuurlijk wordt een product naarmate het gebruik stijgt een interessanter doel voor crackers maar dat heeft geen invloed op de kwaliteit van de softwareVolgens mij kun je er niet verder vanaf zitten.
Of je het nu wilt of niet. MS-WIndows is veruit het populairste OS ter wereld. En daar wordt dan door de scene het hardts op gehakt
Dit is echt niet het eerste lek in Apache hoor. Bovendien is Apache bijna altijd al populair geweest.
het is niet eens een lek in apache zelf, zoals die wordt geleverd door Apache.org, maar in een third-party module voor apache.Dit is echt niet het eerste lek in Apache hoor.
mwah, al jaren marktleider met gemiddeld zo'n 67% marktaandeel noem je populair? Ik moet je gelijk geven.Bovendien is Apache bijna altijd al populair geweest.
Op dit item kan niet meer gereageerd worden.