Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties

De Apache Software Foundation heeft versie 2.2.20 van de webserver-software uitgebracht. Daarmee wordt een potentieel gevaarlijk beveiligingsgat gedicht dat relatief eenvoudig voor ddos- en dos-aanvallen misbruikt kan worden.

Vorige week werd bekend dat Apache httpd 1.3.x en 2.x een kwetsbaarheid bevatten in het afhandelen van overlappende byte ranges die in http-requests zijn opgenomen. Door de bug zou een webserver via een ddos- of dos-aanval onderuit gehaald kunnen worden. Een script, Apache Killer geheten, werd als een 'proof of concept' op de Apache-mailinglist gepubliceerd. Ook zou de kwetsbaarheid in de serversoftware al actief misbruikt worden voor denial of service-aanvallen.

Apache beloofde binnen enkele dagen met een update te komen voor het probleem, maar Apache 2.2.20 is pas woensdag uitgebracht. De bouwer van de webserver-software schrijft dat het gebruikers vriendelijk doch dringend verzoekt om de update te installeren. In de tussentijd zijn er door diverse partijen workarounds gepubliceerd die zouden moeten voorkomen dat Apache-webservers getroffen kunnen worden door de bug.

Moderatie-faq Wijzig weergave

Reacties (23)

Op het moment van schrijven is men nog bezig met releasen en verwijst de downloadlink nog naar 2.2.19. Op de development site is al wel 2.2.20 te downloaden, maar ik raad aan even de officiŽle release af te wachten en via httpd.apache.org in de gaten te houden of de release compleet is, i.v.m. checksums etc.

[edit]
En nu is hij wťl echt gereleaset ;)

[Reactie gewijzigd door Cheatah op 31 augustus 2011 12:12]

Zelf gebruik ik UniServer om lokaal op mijn machine een SQL en PHP server te draaien, deze is al ge-update met deze patch.

Download Orion_7_1_8.exe, hierin zitten deze servers, te bedienen via een tray icoon.
Met alle respect, ik zit te wachten op een officiŽle release en houd dus de site, mailing list en patchnotes goed in de gaten omdat wij straks gaan packagen voor honderden productieservers.

Ik zou niet weten waarom deze release relevant is voor een lokale machine.
En dat het van een Nederlandse developer komt is een voordeel omdat...?
Debian kwam eergisteren al met updates voor z'n packages.
Het is de vraag of er nůg een update komt, het is niet uit te sluiten dat ze de "officiŽle" patch nog gaan backporten omdat Debian wat vroeg was, er werd op dat moment nog druk gediscussieerd op de Apache HTTPD development mailing list.

Op http://mail-archives.apac...d-dev/201108.mbox/browser is dan ook alweer een bug report opgedoken als gevolg van die Debian patch, waarin problemen zijn met het seeken in een stream.
Haastige spoed.

Cheatah: dat kan. In de tussentijd zijn alle machines die al dan niet automatisch gepatched zijn, wel gepatched zodanig dat het probleem van de DDoS niet meer voorkomt. Een paar eventuele problemen met seeken in een stream lijken mij minder problematisch voor het grootste deel van de Apache-gebruikers dan die DDoS. Dwz, het een treft veel meer gebruikers dan het ander.

In ieder geval is de Debian patch een backport van de Apache source, dus dan heeft die bug ook in Apache zelf gezeten.
Offtopic:

De correctie van het spreekwoord is een beetje overbodig. Beide varianten van het spreekwoord zijn in gebruik. Het hangt er een beetje vanaf in welke regio van Nederland je woont.

Zie ook: http://www.encyclo.nl/beg...poed%20is%20zelden%20goed
Off-topic: En in BelgiŽ hebben we zelfs nog nooit gehoord van haastige spoed.

On-topic: het aanpassen van andermans software heeft in 90% van de gevallen andere bijwerkingen dan de originele bedoelde. "Never change a working program".

Zoals nu dus bewezen want die patch brengt streaming problemen met zich mee; mogelijk minder erg dan een DDoS, toegegeven, maar toch ben ik van mening dat haast en spoed - of haastige spoed voor de miereneukers onder ons, een zeer toepasselijk spreekwoord is voor deze actie van Debian.
Apart - de announcement heeft het over Apache 2.20 terwijl de download pagina waarnaar ze linken nog steeds 2.19 heeft. Als ik dan kijk bij de archives dan vind ik daar ook geen 2.20. Ik moet via de mirrors kijken, en daar vind ik helaas geen Windows binaries. Zonde.

Komt er ook nog een update voor 1.3? Die branch hebben ze voor zover ik weet nog steeds niet als EOL gemarkeerd.

Edit: ah, ze zijn nog bezig met releasen. Dan vind ik het vreemd dat ze de announcement hebben gedaan voor de release.

[Reactie gewijzigd door Robtimus op 31 augustus 2011 11:31]

Aangekondigd door tweakers ja (en weer eens te vroeg, zoals gewoonlijk). Op de offciŽle Apache httpd site staat nog niets over 2.2.20.
De aankondiging staat al wťl op de Apache site, zie de 2e link in het bericht.
De pagina voor de aankondiging staat klaar op de site ja. Als je echter naar de hoofdpagina gaat ( http://httpd.apache.org ) gaat het laatste nieuws over versie 2.2.19 ergens in mei.
Zover ik weet is 1.3 al een tijd EOL hoor. Zie ook hier in de documentatie voor 1.3: http://httpd.apache.org/docs/1.3/
OpenBSD onderhoud al een tijdje een fork van Apache 1.3 omdat ze de architectuur en licentie van >=2.0 niet zagen zitten.
Hoeveel van de webservers worden er snel geupdate.
Je ziet toch vaak dat bij websoftware er veel producten niet geupdate worden en websites nog lang gevoelig zijn voor lekken die reeds zijn gepatched, soms zelf al jaren geleden.
Tja dat hangt dan weer af van de interne policy die een organisatie of individu hanteert omtrend security he.

Je kan hetzelfde stellen over veiligheidsdeuren voor woningen - er zijn nog steeds mensen met een aluminium deur waar je tegen blaast en zo binnen bent.

Lijkt me een algemene opmerking omtrend veiligheid in onze maatschappij - niets nieuws dat je hier komt verkondigen.
Is de update nu alleen voor de 2.2 serie en komt er voor de 2.0.64 geen nieuwe versie meer? Aangezien er in alle nieuwsberichten wordt gesproken over de 2x reeks, had ik voor zowel 2.2 als 2.0 een update verwacht.
2.0.65 bevat de patch.
Komt deze update ook voor Ubuntu 10.04 LTS (Lucid)?
2.0.x wordt pas met versie 2.0.65 gedaan die ergens deze maand uit moet komen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True