Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties

Beveiligingsonderzoekers hebben een beveiligingslek in de de Windows-versie van de Apache-webserver ontdekt waarmee aanvallers kwaadaardige code kunnen opstarten. Webmasters wordt aangeraden om Apache zo snel mogelijk te upgraden.

Het beveiligingslek in de mod-isapi-module van de Windows-uitvoering van Apache 2.2.14 is gevonden door de firma Sense of Security. Volgens de firma kan een hacker de mod-isapi-module uit het werkgeheugen verwijderen door een gemanipuleerde request en een reset packet naar een Windows-webserver met de kwetsbare Apache-versie te sturen. Vervolgens kan de aanvaller beheerdersrechten krijgen en eigen code op de webserver starten, waardoor onder andere toegang tot databases verkregen zou kunnen worden.

Sense of Security heeft ter toelichting een proof of concept en video vrijgegeven. Bovendien zouden webmasters niet kunnen achterhalen of hun webserver via het lek door hackers zouden zijn aangevallen. Sense of Security stelt wel dat een aanvaller over 'aanzienlijke technische kennis' moet beschikken om succesvol een kwetsbare Apache-webserver aan te vallen. Om het veiligheidslek op Windows-webservers te dichten, wordt beheerders aangeraden om zo snel mogelijk te upgraden naar versie 2.2.15 van de opensource webserver.

Moderatie-faq Wijzig weergave

Reacties (70)

Persoonlijk vraag ik me af wie in de praktijk Apache op Windows gebruikt.
Ik meen dat er werd gezegd dat deze opstelling onveilig is voor in de productie?

Ik kan me zeker wel voorstellen dat er vele mensen zijn die Apache lokaal op WIndows hebben draaien, zonder enige portmapping.

[Reactie gewijzigd door AW_Bos op 9 maart 2010 09:56]

Ik denk dat dat voornamelijk webdevelopers zijn die graag een omgeving willen hebben op hun eigen machine zodat ze niet constant bestanden hoeven te up- en downloaden via ftp.
Dan installeer je toch een virtuele linux machine met Apache in virtualbox...
Maar waarom? Apache werkt perfect onder Windows. Als je gaat virtualiseren zit je weer met meerdere problemen. Je moet nog altijd je bestanden tot op de server krijgen en je neemt een performance hit op je machine omdat je meer bronnen gebruikt.
ja maar het klinkt interessanter om uit te leggen ;)
Waarom? Het werkt perfect op windows, is super makkelijk te configureren en zolang je de poorten niet forward van buiten is het superveilig :)
Dan maak je toch een share aan als de testserver in je eigen netwerk staat? Ik ontwikkel zelf op Windows + Eclipse / PHP. Door de web directory via Samba benaderbaar te maken is dat geen enkel probleem. Daarnaast zijn er ook manieren om bestanden op een remote server via SSH op een 'lokale' drive beschikbaar te maken.
De responsetijd van Eclipse vermindert zichtbaar en helaas ergerlijk door projecten op CIFS shares te benaderen.

Daarnaast kost dat natuurlijk een extra machine.
Virtuele machines :) Ik ontwikkel in Aptana en mn webomgeving staat hier op een virtuele machine. Zo kan ik ook direct mijn virtuele machine naar productie sturen.
Nooit problemen mee eerlijk gezegd (je moet wel een driveletter aanmaken). De extra machine draait bij mij toch al.
Inderdaad, denk dat je het daar wel het meeste terug ziet, verder zou ik apache lekker op linux/BSD laten draaien voor de daadwerkelijke app die ik op me WAMP server draai :) ;)

[Reactie gewijzigd door watercoolertje op 9 maart 2010 10:01]

Het kan ook gewoon kostenbesparing zijn. Als je al een Windows-server om andere reden hebt, maar niet met IIS aan de slag wil, zou het overdreven zijn om een losse linux-server aan te schaffen.
Op het moment dat je bijvoorbeeld gebruik wilt maken van mod_rewrite (daar is bij mijn weten geen alternatief voor onder MSIIS), is Apache HTTPD voor Windows een perfecte match. Verder is Apache HTTPD ook erg goed bruikbaar als je bijvoorbeeld Tomcat+PHP wilt gebruiken (dan kan ook onder IIS, maar onder Apache werkt 't net zo goed).

Behoudens het ook kunnen gebruiken van mod_rewrite (en een ISAPI-DLL) zie ik overigens niet in waarom je per se ISAPI onder Apache HTTPD zou willen gebruiken. Gewoon niet aanzetten en je hebt/had niet eens last van dit lek...

N.B. Apache HTTPD voor Win32 is inmiddels een officieel (ondersteund) product, dus op het moment dat de gebruiker (of de manager) zich niet ingraaft in het idee dat Microsoft alle oplossingen heeft is Apache HTTPD ook een goede optie...
Wat betreft urls herschrijven is onder iis 7 en later een module van microsft beschikbaar http://learn.iis.net/page.aspx/460/using-url-rewrite-module/.

Ik gebruik het lokaal voor wat hobby projecten met het Zend framework.
Voor de meeste mod_rewrite toepassingen kun je de URL rewrite module voor IIS 7 gebruiken.

Deze wordt ook via WebPI (http://www.microsoft.com/web) geinstalleerd.
... mod_rewrite (daar is bij mijn weten geen alternatief voor onder MSIIS)
Wel degelijk: URLRewrite, een officiele module van Microsoft. Overigens zou ik geen enkele realistische reden kunnen verzinnen waarom je ISAPI zou willen gebruiken onder Apache onder Windows. Gebruik dan gewoon IIS.
ISAPI Rewrite

Werkt ook onder IIS6.0 voor zover ik weet.

http://www.isapirewrite.com/
Persoonlijk vraag ik me af wie in de praktijk Apache op Windows gebruikt.
Ik denk dat het er heel veel zijn. Zeker als je naar deze Netcraft resultaten kijkt.

Op Internet is Linux wel dominant aanwezig maar niet in de mate dat Windows maar 17.84% overall heeft (ISS aantal).
Netcraft zegt niet zoveel, alleen de laatste grafiek is interessant, zoals je ziet hebben de andere enorme pieken en dalen, die zijn niet te verklaren door legitieme websites die worden gelanceerd en stopgezet.

Die pieken en dalen zijn parked domains die soms massaal online komen of van server wisselen.
Die grafieken zeggen niks over operating system.
Ik gebruik wel degelijk Apache op windows (al is het maar een hobby project) maar ga dus zeker wel upgraden, er hangt een behoorlijke database achter die ik liever niet kwijt wil.
Ik gebruik het zelf ook voor hobby :)
Precies, hobby, een bedrijf gaat of de linux/bsd apache route of de windows server route over het algemeen.
ja, want elk bedrijf heeft wel een sysadmin die linux/bsd beheerst |:(
Eh, dat misschien niet heel goed, maar meestal als je een windows server gebruikt gebruik je bijvoorbeeld IIS.
Overigens geldt wel dat de meeste website toch echt op apache draaien en slechts een klein gedeelte daarvan windows is.
dat is toch ook niet waar hoor ...

je gebruikt enkel IIS als je op je webserver met ASP wil werken... wil je met PHP wil werken is apache (of een WAMP server) nog steeds de oplossing...

in kleine bedrijfjes staat er vaak een windows domain/mail server met een apache derbij die het intranet-www serveert...
Waarom enkel als je asp(.Net) wil gebruiken. PHP kan perfect op IIS
Meer info op http://www.microsoft.com/web/php/
de php plugin voor iis heeft niet zo'n goede reputatie als ik een paar van mijn klanten (webdesigners) mag geloven.

Zij hebben me al vaker verteld over problemen met iis en php, waarschijnlijk omdat MS toch liever heeft dat iis met ASP gebruikt wordt.
Het gaat 'm dan vooral over specifieke functies (ism mysql) die niet correct worden afgehandeld.

Nu heb ik zelf ook een webservertje draaien, en da's toch ook bewust een apache op een wintel machine.
Ik denk dat het allemaal te maken heeft met wat je nu net nodig hebt; op ieder potje past een dekseltje éh ;)
Over welke "plugin" heb je het hier? PHP komt gewoon van php.net.

De pdo* en andere mysql(i) drivers die met PHP meekomen, geven dan ook geen problemen.
je moet IIS wel laten praten met PHP en dat gebeurt bij mijn weten nog altijd door een plugin aan IIS te geven die dat mogelijk maakt.
Ik ken niemand die nog IIS met PHP via ISAPI draait.

fastcgi + php nts zijn tegenwoordig gangbaar en probleemloos.
Inderdaad.

Ik ontwikkel met PHP altijd op IIS + fastcgi
Dan moeten ze het juiste personeel aannemen. Het probleem is alleen dat scholen de vraag voor de markt bepalen door te zwichten voor grote bedrijven als Microsoft en Cisco. Daar had ik als student in het verleden ook last van.
Als eerstejaars HBO systeembeheer (HU) kan ik je zeggen dat dit niet het geval is. Linux omvangt een groot deel van de opleiding tot nu toe, en, ook al krijgen we ook Cisco les, bij het bouwen van webservers wordt er wel degelijk veel aandacht besteed aan Linux (Fedora, en Ubuntu Server).
huh. Ik zat op MBO ICT beheer een paar jaar geleden (ja randdebiel allemaal wijzen en lachen) en dat was echt Windows van begin tot eind. Wel CCNA en wat softcore Novell gerommel erbij maar de enige Linux machines werden buiten schooltijd gebouwd om naar Biafra te verschepen in't kader van een ontwikkelingshulpproject.
Precies. Ik heb ook MBO ICT-beheer gedaan en dat was inderdaad 100% Microsoft. Alleen maar Windows XP, Windows Server 2003 en Microsoft Office 2003 (inclusief Visio en Project). Tijdens de gehele opleiding heeft geen enkele leraar ook maar één minuut aandacht aan Linux besteed. Als zo'n leraar dan weer eens bezig was over het installeren van een webserver op Windows en je vroeg waarom er geen Linux werd gebruikt, kreeg je als antwoord: "Linux is leuk voor een amateurtje om thuis wat te prutsen, maar als professioneel bedrijf ga je zoiets echt niet gebruiken."

Opleiding MBO ICT-beheer. Sponsored by Microsoft.
HBO informatica hier. Ook niet veel beter. 1 les in 1 blok aan linux besteed. Voor de rest is 85% Microsoft-spul. CQ de opleiding is niet te volgen als je geen windows hebt
Je hoeft geen linux/bsd IT admin in beheer te hebben als bedrijf,
dit kan je makkelijk outsourcen. Hetzelfde geld voor windows admins
en er is geen rede dat deze goedkoper zouden zijn dan linux/bsd admins.
Dus je argument is niet valide.

Ik ben inderdaad ook van mening dat meeste webservers die op windows draaien waarschijnlijk hobby servers zijn, a.k.a. er valt niet veel geld/informatie te halen die tot kwaad zou kunnen helpen.

Zelf heb ik ook een tijdje terug een apache webserver op me pc draaien voor een locally host forum dat ik zelf geschreven had in PHP met MYSQL.

Ik denk niet dat het lek 'al' teveel schade zal hebben opgeleverd, maar upgraden is uiteraard wel noodzakelijk.
Als er wel enigszins schade is toegebracht vrees ik toch dat ik vind dat dit de schuld is van de webserver zelf.
Nee, maar de meeste bedrijven die dat niet hebben beheren niet hun eigen webserver.
beetje bedrijf besteed de hosting gewoon uit aan een gespecialiseerd bedrijf en houden zich bezig met dingen waar ze wel goed in zijn ;)
Je hoeft het niet te beheersen om een Plesk servertje te bestellen. Iedereen beheerst de creditcard en facturatiemethode...
Lol, leuk dat je daar zo over begint. Mijn huidige werkgever laat door onze n00b systeembeheerder Apache installeren op een Windows 2008 server (echt... WHY).

Dat je voor Apache kiest is niet echt raar, al prefereer ik zelf Lightty, maar dat is mijn keus / mening. Maar kies dan op zijn minst een betrouwbaar OS. Ik zou inderdaad (las het hierboven ook al ergens) voor BSD gaan of iets dergelijks.

Maar opensource is iets waar ze bij ons niets van willen weten.

P.S. en oja.. hij is echt n00b, want het lukt hem niet om binnen 5 dagen een Apache met PHP aan de praat te krijgen. En hij keek vreemd op dat 2008 server geen XP key wilde accepteren. Lekker legitiem he ;)
Apache HTTPD is ook Open Source.

En Apache+PHP niet kunnen installeren binnen 2 uur op Windows is schandalig aangezien beide met een makkelijke installer voor Windows komen.
tell me about it :D
Mwa, ik zou zeggen zo ongeveer iedereen die XAMPP gebruikt. Zeker in thuis omgevingen en voor niet linux-nuts ideaal en zeer eenvoudig out of the box te configgen.
najah als je dan al vast zit aan een Windows server (kan opgelegd worden door je bedrijf). Kan je op zijn minst nog Apache gebruiken in plaats van vast te zitten aan ISS IIS :Y)

[Reactie gewijzigd door Tenshi818 op 9 maart 2010 11:23]

Ik kan me niet voorstellen dat veel mensen hun website vanuit het internationale ruimtestation serveren.

Mits je een beetje recente versie van IIS hebt, is het prima werken met deze webserver.
Misschien toch eens een ISS hosting beginnen vast genoeg gekken die er dik voor willen betalen om te kunnen zeggen "Maar MIJN webserver staat in de ruimte!" ;)

Zelf ben ik meer van het linux gebeuren als het om servers gaat dus ik heb meer ervaring met apache. IIS zal zeker een goede webserver zijn maar meh ik hou het toch bij command line en gewoon tekst based config bestandjes...
IIS7 gebruikt XML bestanden voor de config. En voor het beheren is er powershell beschikbaar ;)

Naast de normale grafische console natuurlijk.

[Reactie gewijzigd door Glashelder op 9 maart 2010 12:10]

Er zijn diverse tools(bijv. dreamweaver) waarmee je direct kunt werken in je source, al dan niet in een live/dev omgeving gescheiden van elkaar
Bijv. een product als Trend Micro Worry Free Business Security kan met apache op windows geinstalleerd worden.

Toegegeven, je zult dit normaliter niet richting internet open hangen, maar je zult waarschijnlijk nog verbaasd zijn hoeveel van dergelijke pakketjes met apache werken.

Producten van www.manageengine.com bijv. ook...
Hoe zit het met de Apache 1 tak? Is deze kwetsbaar en wordt deze niet geupdated?
Als daarin mod_isapi gebruikt wordt is deze inderdaad ook kwetsbaar.

Hier overigens een filmpje over de hele issue:
klik!
De meest recente versie van Apache 1.x,1.3.42, werd begin februari vrijgegeven.

De bug geld voor zover bekend alleen voor Apache 2.2.x <= 2.2.14.

Ik geloof overigens wel dat er een tijdje geleden iets is gezegd over het evt. binnenkort stopzetten van support voor de 1.x tak maar ik kan het niet meer vinden, als ze dat doen is dat denk ik op zich niet misplaatst, 2.x is 10 jaar geleden voor het eerst uitgebracht en 1.x 15 jaar geleden....
Apache 1 is nooit officieel uitgebracht voor MS-Windows, en de (nog steeds ondersteunde) Apache HTTPD 2.0 tak wordt niet genoemd. Grote kans dat het lek alleen aanwezig is in Apache HTTPD 2.2...
Vele pakketten gebruiken onder water een Apache server op Windows als server.
Daarnaast is het een manier om snel een server up en running te krijgen in een kantoor omgeving.
Inderdaad, maar gebruiken die allemaal die mod isapi?
Zeer waarschijnlijk niet, als het om het hosten van statische content gaat is mod_isapi totaal overbodig. Ook heeft Apache zelf ook een module systeem waar je als gebruiker bij kunt aanhaken...
inderdaad: een heel aantal HP tools gebruikt apache.
Upgraden leuk, maar weet iemand wanneer ze de .msi package inclusief mod SSL online zetten? :? Deze kan ik namelijk op geen één mirror vinden op dit moment.

edit: ok hij staat wel in de archive: http://archive.apache.org...32-x86-openssl-0.9.8m.msi

edit 2: Ok er schijnen problemen te zijn met openssl icm Apache 2.2.15 op dit moment! Ik had namelijk problemen met installeren (info hier). Er is een "2nd release" uitgebracht die hier is te downloaden.

[Reactie gewijzigd door Mont2uk op 9 maart 2010 12:02]

Je kunt gewoon de vorige mod_ssl blijven gebruiken (die van een eerder 2.2 versie dus). In mod_ssl zijn deze keer geen lekken gevonden....

(en verder is het upgraden alleen belangrijk als je mod_isapi gebruikt...)
mod_isapi, werkelijk ? hoeveel mensen gebruiken die dan ? Hoeveel mensen gebruiken voor productie websites Apache op Windows en dan ook nog mod_isapi ? Dit is wel een heel klein percentage mensen die dit gebruikt. Hmm, bijna iedereen die Apache op Windows gebruikt zo te zien ? Want hij lijkt op eerste blik (althans in bepaalde versies) standaard aan te staan.

[Reactie gewijzigd door Lennie op 9 maart 2010 11:54]

Begrijp ik het goed dat je je pas zorgen moet maken als je aan AL deze voorwaarden voldoet:

- apache httpd 2.2.0-2.2.14 draait
- dat op Windows doet
- de module mod_isapi in httpd.conf aan hebt staan (is standaard zo)
- in de cgi-bin directory isapi dll's hebt gezet (standaard niet meegeleverd)

en dus vrijwel niemand hier last van gaat hebben?

Waarom schrijft niemand dat dan zo...
Begrijp ik het goed dat je je pas zorgen moet maken als je aan AL deze voorwaarden voldoet:

- apache httpd 2.2.0-2.2.14 draait
- dat op Windows doet
- de module mod_isapi in httpd.conf aan hebt staan (is standaard zo)
- in de cgi-bin directory isapi dll's hebt gezet (standaard niet meegeleverd)

en dus vrijwel niemand hier last van gaat hebben?

Waarom schrijft niemand dat dan zo...
bedankt voor de duidelijke uitleg, net wat ik, amateur met apache-server, al zocht.
Gebruik 'n andere versie, maar toch maar meteen de cgi-bin directory leeg gemaakt; standaard staat daar printenv.pl in.
Eh. Dit heeft echt geen drol te maken met Windows, dit is gewoon een vulnerability in een open source project. Dat het onder Windows is, is toeval; het had net zo goed onder Linux kunnen zijn.
"het had net zo goed onder Linux kunnen zijn"
Ik denk 't gemiddeld toch niet (niet net zo goed) - Windows ondersteunt gewoon veel meer aanvalsvectoren.
Welnee. Het probleem is dat Apache onder Windows met heel erg veel rechten draait. Het equivalent - Apache onder root op Linux draaien - introduceert een nog grotere aanvalsvector op Linux. Root op linux is de optelsom van Administrator en System onder Windows.
Dat is dus de reden waarom apache op linux op een eigen user draait :)
Afscherming en beveiliging
Juist, en dezelfde reden dat IIS hetzelfde doet. Dat Apache dat niet doet onder Windows is niet de schuld van Microsoft, maar van Apache (of de beheerders die het inrichten).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True