Apache dicht kwetsbaarheid in webserver-software

De Apache Software Foundation heeft versie 2.2.20 van de webserver-software uitgebracht. Daarmee wordt een potentieel gevaarlijk beveiligingsgat gedicht dat relatief eenvoudig voor ddos- en dos-aanvallen misbruikt kan worden.

Vorige week werd bekend dat Apache httpd 1.3.x en 2.x een kwetsbaarheid bevatten in het afhandelen van overlappende byte ranges die in http-requests zijn opgenomen. Door de bug zou een webserver via een ddos- of dos-aanval onderuit gehaald kunnen worden. Een script, Apache Killer geheten, werd als een 'proof of concept' op de Apache-mailinglist gepubliceerd. Ook zou de kwetsbaarheid in de serversoftware al actief misbruikt worden voor denial of service-aanvallen.

Apache beloofde binnen enkele dagen met een update te komen voor het probleem, maar Apache 2.2.20 is pas woensdag uitgebracht. De bouwer van de webserver-software schrijft dat het gebruikers vriendelijk doch dringend verzoekt om de update te installeren. In de tussentijd zijn er door diverse partijen workarounds gepubliceerd die zouden moeten voorkomen dat Apache-webservers getroffen kunnen worden door de bug.

Door Dimitri Reijerman

Redacteur

Feedback • 31-08-2011 11:19 23

31-08-2011 • 11:19

23

Lees meer

Hash collision maakt dos-aanval op webservers mogelijk
Hash collision maakt dos-aanval op webservers mogelijk Nieuws van 29 december 2011
Oracle voert ongeplande patchronde uit om Apache-lek
Oracle voert ongeplande patchronde uit om Apache-lek Nieuws van 19 september 2011
Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen
Kwetsbaarheid maakt Apache gevoelig voor dos-aanvallen Nieuws van 25 augustus 2011
Google geeft Apache-module voor webserveroptimalisatie vrij
Google geeft Apache-module voor webserveroptimalisatie vrij Nieuws van 4 november 2010
Hackers bemachtigen wachtwoorden Apache Foundation
Hackers bemachtigen wachtwoorden Apache Foundation Nieuws van 14 april 2010
Meer producten en artikelen
Serversoftware Beveiliging Open source Webserver

Reacties (23)

-Moderatie-faq
23
21
11
2
0
7
Wijzig sortering
Verwijderd 31 augustus 2011 11:25
Op het moment van schrijven is men nog bezig met releasen en verwijst de downloadlink nog naar 2.2.19. Op de development site is al wel 2.2.20 te downloaden, maar ik raad aan even de officiële release af te wachten en via httpd.apache.org in de gaten te houden of de release compleet is, i.v.m. checksums etc.

[edit]
En nu is hij wél echt gereleaset ;)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 13:07]

Dreeke fixed @Verwijderd31 augustus 2011 12:04
Zelf gebruik ik UniServer om lokaal op mijn machine een SQL en PHP server te draaien, deze is al ge-update met deze patch.

Download Orion_7_1_8.exe, hierin zitten deze servers, te bedienen via een tray icoon.
Verwijderd @Dreeke fixed31 augustus 2011 12:11
Met alle respect, ik zit te wachten op een officiële release en houd dus de site, mailing list en patchnotes goed in de gaten omdat wij straks gaan packagen voor honderden productieservers.

Ik zou niet weten waarom deze release relevant is voor een lokale machine.
MacBreQ @JoJo_nl1 september 2011 09:56
En dat het van een Nederlandse developer komt is een voordeel omdat...?
CyBeR 31 augustus 2011 11:27
Debian kwam eergisteren al met updates voor z'n packages.
Verwijderd @CyBeR31 augustus 2011 11:31
Het is de vraag of er nóg een update komt, het is niet uit te sluiten dat ze de "officiële" patch nog gaan backporten omdat Debian wat vroeg was, er werd op dat moment nog druk gediscussieerd op de Apache HTTPD development mailing list.

Op http://mail-archives.apac...d-dev/201108.mbox/browser is dan ook alweer een bug report opgedoken als gevolg van die Debian patch, waarin problemen zijn met het seeken in een stream.
CyBeR @Verwijderd31 augustus 2011 12:33
Haastige spoed.

Cheatah: dat kan. In de tussentijd zijn alle machines die al dan niet automatisch gepatched zijn, wel gepatched zodanig dat het probleem van de DDoS niet meer voorkomt. Een paar eventuele problemen met seeken in een stream lijken mij minder problematisch voor het grootste deel van de Apache-gebruikers dan die DDoS. Dwz, het een treft veel meer gebruikers dan het ander.

In ieder geval is de Debian patch een backport van de Apache source, dus dan heeft die bug ook in Apache zelf gezeten.
jvdmeer @CyBeR31 augustus 2011 20:06
Offtopic:

De correctie van het spreekwoord is een beetje overbodig. Beide varianten van het spreekwoord zijn in gebruik. Het hangt er een beetje vanaf in welke regio van Nederland je woont.

Zie ook: http://www.encyclo.nl/beg...poed%20is%20zelden%20goed
Verwijderd @jvdmeer1 september 2011 13:13
Off-topic: En in België hebben we zelfs nog nooit gehoord van haastige spoed.

On-topic: het aanpassen van andermans software heeft in 90% van de gevallen andere bijwerkingen dan de originele bedoelde. "Never change a working program".

Zoals nu dus bewezen want die patch brengt streaming problemen met zich mee; mogelijk minder erg dan een DDoS, toegegeven, maar toch ben ik van mening dat haast en spoed - of haastige spoed voor de miereneukers onder ons, een zeer toepasselijk spreekwoord is voor deze actie van Debian.
Robtimus 31 augustus 2011 11:30
Apart - de announcement heeft het over Apache 2.20 terwijl de download pagina waarnaar ze linken nog steeds 2.19 heeft. Als ik dan kijk bij de archives dan vind ik daar ook geen 2.20. Ik moet via de mirrors kijken, en daar vind ik helaas geen Windows binaries. Zonde.

Komt er ook nog een update voor 1.3? Die branch hebben ze voor zover ik weet nog steeds niet als EOL gemarkeerd.

Edit: ah, ze zijn nog bezig met releasen. Dan vind ik het vreemd dat ze de announcement hebben gedaan voor de release.

[Reactie gewijzigd door Robtimus op 23 juli 2024 13:07]

Verwijderd @Robtimus31 augustus 2011 11:39
Aangekondigd door tweakers ja (en weer eens te vroeg, zoals gewoonlijk). Op de offciële Apache httpd site staat nog niets over 2.2.20.
Verwijderd @Verwijderd31 augustus 2011 11:42
De aankondiging staat al wél op de Apache site, zie de 2e link in het bericht.
Verwijderd @Verwijderd31 augustus 2011 11:49
De pagina voor de aankondiging staat klaar op de site ja. Als je echter naar de hoofdpagina gaat ( http://httpd.apache.org ) gaat het laatste nieuws over versie 2.2.19 ergens in mei.
paul999 @Robtimus31 augustus 2011 11:56
Zover ik weet is 1.3 al een tijd EOL hoor. Zie ook hier in de documentatie voor 1.3: http://httpd.apache.org/docs/1.3/
merethan @paul99931 augustus 2011 18:16
OpenBSD onderhoud al een tijdje een fork van Apache 1.3 omdat ze de architectuur en licentie van >=2.0 niet zagen zitten.
Verwijderd 31 augustus 2011 11:30
Hoeveel van de webservers worden er snel geupdate.
Je ziet toch vaak dat bij websoftware er veel producten niet geupdate worden en websites nog lang gevoelig zijn voor lekken die reeds zijn gepatched, soms zelf al jaren geleden.
Verwijderd @Verwijderd31 augustus 2011 11:40
Tja dat hangt dan weer af van de interne policy die een organisatie of individu hanteert omtrend security he.

Je kan hetzelfde stellen over veiligheidsdeuren voor woningen - er zijn nog steeds mensen met een aluminium deur waar je tegen blaast en zo binnen bent.

Lijkt me een algemene opmerking omtrend veiligheid in onze maatschappij - niets nieuws dat je hier komt verkondigen.
uashy 31 augustus 2011 16:34
Is de update nu alleen voor de 2.2 serie en komt er voor de 2.0.64 geen nieuwe versie meer? Aangezien er in alle nieuwsberichten wordt gesproken over de 2x reeks, had ik voor zowel 2.2 als 2.0 een update verwacht.
falcon1 @uashy19 september 2011 11:07
2.0.65 bevat de patch.
Jogai 1 september 2011 08:41
Komt deze update ook voor Ubuntu 10.04 LTS (Lucid)?
falcon1 19 september 2011 11:06
2.0.x wordt pas met versie 2.0.65 gedaan die ergens deze maand uit moet komen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq