Servers kwetsbaar door vier jaar oud gat in Apache

rack

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (3)
1x Aanbevolen

Gepubliceerd: Donderdag 25 augustus 2011
Auteur: Uhro van der Pluijm

Met een oud gat in de webserver Apache kunnen aanvallers met slechts één pc een hele server platleggen. Apache haast zich om een update uit te brengen.

Eerder deze week verscheen de tool 'Apache Killer' op de Full Disclosure mailinglist, een mailinglist voor security experts. Met deze tool is het mogelijk om webservers die draaien op Apache 1.3 en Apache 2 eenvoudig plat te leggen. Door meerdere aanvragen met overlappende bytereeksen tegelijk te versturen kan een aanvaller al het geheugen op een webserver opsouperen. De aanvaller heeft daarvoor slechts één pc nodig om de webserver volledig te laten crashen.

Proof-of-concept

De beveiligingsonderzoeker die een proof-of-concept aanval maakte stelt zelfs dat het hele besturingssysteem onbruikbaar kan worden bij parallelle aanvallen. Hij noemt symptomen waaraan beheerders kunnen zien of hun server aangevallen wordt: "swappen naar de harde schijf en het sluiten van de httpd-processen".

De aanval werkt door enkele delen, oftewel bytereeksen, van een http-document te downloaden. Door een normale http-header van meerdere van die reeksen te voorzien kan een aanvaller het systeem plat leggen. Apache wil binnen drie dagen een patch voor deze fout uitbrengen.

Exploit al misbruikt

Zo'n patch is belangrijk want de exploit wordt al door aanvallers gebuikt. Alle standaardinstallaties van de meestgebruikte webserver ter wereld zijn bovendien kwetsbaar. Opvallend is dat beveiligingsonderzoeker Michal Zalewski, inmiddels werkzaam bij Google, de bug al in januari 2007 ontdekte. Ook Microsofts webserver IIS was toen nog kwetsbaar voor een gelijkaardige aanval.

Hij analyseerde toen dat de aanval webservers zou kunnen laten bezwijken onder gigabytes aan nepdata. Dat kon allemaal vanaf één verbinding. Limieten in de grootte van een ontvangen bestand, het aantal verbindingen of aanvragen helpt volgens Zalewski niet. "Ik weet niet waarom ze er toen niets aan gedaan hebben, misschien merkten ze het gewoon niet omdat er geen exploit was", stelt Zalewski nu tegenover The Register.

66 procent marktaandeel

Wereldwijd draaien zo'n 235 miljoen websites op Apache. Dat blijkt uit statistieken van marktonderzoeker Netcraft. Apache heeft daarmee een marktaandeel van 66 procent. De nummer twee van die lijst is Microsoft IIS, dat heeft een marktaandeel van slechts 17 procent.

Hoewel de bug zowel voor Apache 1.3 als Apache 2 geldt, zal er alleen voor die laatste versiereeks een patch uitkomen. Apache 1.3 wordt door de ontwikkelaars al langere tijd niet meer ondersteund. Beheerders die deze versie gebruiken kunnen het beste upgraden. Er is ook een workaround beschikbaar.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)