Gepubliceerd: Dinsdag 9 maart 2010
Beveiligingsbedrijf Sense of Security heeft een ernstig lek ontdekt in het veelgebruikte Apache, waardoor hackers de volledige controle kunnen krijgen over de webserver.
Toon volledig artikel
Bovendien is misbruik simpel tegen te gaan door te upgraden naar versie 2.2.15, die een paar dagen geleden is uitgekomen.
Leuk thema: alle gaten melden die al eerder gemaakt zijn.
Apache voor Windows is handig om even ad-hoc en localhost te gebruiken. Ik snap de logica niet van het gebruik van deze combinatie op internet, zeker niet professioneel. Ik denk dat veel thuisgebruikers, die Linux te lastig vinden, het leuk vinden om thuis iets te hosten op hun XP desktopje. Die zullen wel gebeten worden door dit lek.
gebeten?
pff, nieuwe versie installeren klaar.
ehm, back van confs maken eerst xD
Vraag me af wat gregorius schreef dat die weg gejorist is.
eens kijken...
Groot gat in Apache-webserver
op Windows
je leest slechts een deel en daar beginnen dan je hormonen het over te nemen ;)
Het is niet bewezen dat het aan Windows ligt, maar uitsluiten kun je 't op basis van het artikel in elk geval ook niet. Zoals ik hieronder al schreef, vind ik het verrassend dat Apache onder Windows blijkbaar adminrechten nodig heeft. Dat kan slordig programmeerwerk van de Apache-makers zijn, maar het kan evengoed een beperking zijn die vanuit Windows wordt opgelegd. Zolang dat niet duidelijk is, kun je hiermee alle kanten op.
Het ligt aan mod_isapi, maar blijkbaar wordt het ook nodig gevonden om Apache op Windows met admin-privileges te draaien. Het hele systeem overnemen gaat namelijk niet wanneer Apache als normale user zou draaien. Onder *nix is het standaard dat de Apache-processen waar je als bezoeker contact mee maakt draaien onder een eigen account.
Dat is ook zo onder IIS: er wordt een guest account aangemaakt tijdens de installatie dat gebruikt wordt door IIS.
Volgens mij zou je Apache ook zo kunnen inrichten, maar dat zal in veel gevallen misschien niet gebeuren. Het zijn tenslotte maar gewoon services, die kan je starten zoals je dat zelf wil.
De IIS, waar jij naar refereert, zal je standaard denk ik ook niet op een werkstation zetten. Daarom kan het misschien al meer randvoorwaarden invullen in de install.
De Apache installer moet er rekening mee houden dat het op XP Home komt te staan. In dat geval weet ik niet of het maken van een guest account werkt.
Ach gossie, en het was nog wel open source software.... Iedereen zeker even overheen keken, dit enorme beveiligingsgat.
Ik dacht dat nu wel algemeen bekend was dat Open Source geen absolute garanties biedt.
Volgens mij claimen de voorstanders van OSS *relatief* betere performance versus CSS omdat letterlijk iedereen de code kan inzien en lekken kan melden. In de praktijk blijkt echter keer op keer dat dit argument pure nonsense is.
*relatief*
Heel goed kaiser, ik had niet durven hopen dat je die nuance in je had. Het glijdt vervolgens ook snel weer af in je gebruikelijke gescheld. Maar je kan het.
In de praktijk blijkt echter keer op keer...
Het hoeveelste grote lek in Apache is dit dan? Als het keer op keer mis gaat, dan kan het je toch niet al te veel tijd kosten om het lijstje aan enorme gaten op te duikelen. Volgens mij zijn het vooral jouw argumenten die hier nonsens zijn.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
