Groot gat in Apache-webserver op Windows
Gepubliceerd: Dinsdag 9 maart 2010
Auteur: Sander van der Meijs
Beveiligingsbedrijf Sense of Security heeft een ernstig lek ontdekt in het veelgebruikte Apache, waardoor hackers de volledige controle kunnen krijgen over de webserver.
Het gaat specifiek om versie 2.2.14 van de Apache HTTP Server, draaiend op Windows. Door een speciaal geprepareerde aanvraag, gevolgd door een reset pakket kan een kwetsbaarheid in kernonderdeel mod_isapi worden uitgebuit. Dit kan ertoe leiden dat hackers willekeurig welke code kunnen uitvoeren met systeemrechten.
Patchen
Het komt er dus op neer dat hackers de webserver helemaal over kunnen nemen. Sense of Security verwijst in zijn security advisory ook naar proof-of-concept code, zodat iedereen het kan proberen. Daar is wel behoorlijk wat technische kennis voor nodig. Bovendien is misbruik simpel tegen te gaan door te upgraden naar versie 2.2.15, die een paar dagen geleden is uitgekomen.
Apache 2.2.14 wordt wereldwijd gebruikt op ruim 4 procent van alle webservers. Hoeveel er daarvan op Windows draaien, is niet duidelijk.
Bron: Techworld.nl.
