Ernstig lek ontdekt in Apache voor Windows
Gepubliceerd: Dinsdag 9 maart 2010
Auteur: Sander van der Meijs
Het beveiligingsbedrijf Sense of Security heft een ernstig lek ontdekt in de Apache webserver, waardoor hackers de volledige controle kunnen krijgen over de server.
Het gaat specifiek om Apache HTTP Server 2.2.14 op Windows. Door een speciaal geprepareerde aanvraag, gevolgd door een reset pakket kan een kwetsbaarheid in mod_isapi worden uitgebuit, wat ertoe kan leiden dat hackers willekeurig welke code kunnen uitvoeren met systeemrechten.
Het komt er dus op neer dat hackers de webserver helemaal over kunnen nemen. Sense of Security verwijst in zijn security advisory ook naar proof-of-concept code, zodat iedereen het kan proberen, al heeft men daar wel behoorlijk wat kennis voor nodig. Bovendien is misbruik simpel tegen te gaan door te upgraden naar versie 2.2.15, die een paar dagen geleden is uitgekomen.
Apache 2.2.14 wordt wereldwijd gebruikt op ruim 4% van de webservers. Hoeveel er daarvan op Windows draaien is niet duidelijk.
Bron: Techworld
