Az Apache Software Foundation néhány napja kiadta a biztonsági rés javítását. Webes és helyi környezetben is telepíteni kell.

Egy februárban felfedezett súlyos hibához adott ki javítást az Apache Software Foundation. A hiba kihasználásával az Apache webszervereken kártékony szkripteket lehet futtatni root jogosultsággal, és át lehet venni a szerver fölötti irányítást. A hiba a unixos Apache webszervereket érinti a 2.4.17-es verziótól a 2.4.38-asig. A problémára azért is érdemes odafigyelni, mert globálisan is az egyik legnépszerűbb webes kiszolgálóról van szó.

Alacsony jogosultásgból teljes hatalom

A hibát kihasználva a támadók alacsony jogosultságú ún. gyerekfolyamatokat (child process), például egy CGI szkriptet futtathatnak a szülő folyamat (parent process) jogosultságával. Ez azért veszélyes a Unix rendszereken, mert azokon az Apache HTTPd (HTTP daemon – egy háttérben futó program a webszerveren, amely automatikusan válaszol a bejövő kérésre, és a HTTP-n keresztül szolgáltatja a hipertext és multimédiás dokumentumokat) root jogosultásokkal fut.

A probléma leginkább a megosztott webes hosting környezeteket veszélyezteti. Kihasználásához először valamilyen módon hozzá kell férni a webszerverhez – mondta a sebezhetőséget felfedező Charles Fol biztonsági kutató a ZDnetnek. Ez azonban úgy is lehetséges, hogy a támadó regisztrál a megosztott hosting szolgáltatónál, vagy kompromittál egy meglévő hozzáférést.

Ha megvan a hozzáférés, akkor a támadó feltölt egy rosszindulatú CGI szkriptet a szerverre, amellyel átveszi az irányítást. Utána már lehetőséget kap arra, hogy malware-t telepítsen, vagy adatokat lopjon olyan felhasználóktól, akik azon a szerveren tárolják az adataikat. A felhasználó ugyanis a sérülékenységen keresztül teljes (root) hozzáférést kap a szerveren tárolt minden adathoz, azokat olvashatja, írhatja, törölheti.

Nem megosztott környezetben is okozhat bajt

Charles Fol szerint a biztonsági résre a nem megosztott hosting környezetben is érdemes odafigyelni, mert az egyéb szerverbiztonsági problémák lehetőségét is növeli az Apache webszervereknél. Egy támadó vagy egy penetrációs tesztet végző etikus hekker is általában első lépésben alacsony jogosultsággal rendelkezik. A mostani hiba azonban azt jelenti, hogy ha ezzel a jogosultsággal fel tud tölteni egy rosszindulatú CGI szkriptet, akkor onnantól már működik a fenti mechanizmus.

Éppen ezért Fol a minél előbbi javítást javasolja. Az Apache HTTP szerver 2.4.39-es kiadásában már javították a hibát. A kiadásban a fentiek mellett egy olyan, szintén fontos besorolású biztonsági rést is foltoztak, amelynek kiaknázásával ún. bypass vagy megkerüléses támadást lehet végrehajtani, azaz a rendszer védelmét lehet megkerülni érvényes hitelesítő adatok felhasználásával.

Biztonság

Jöhetnek az 5G-s iPhone-ok, kiegyezett az Apple és a Qualcomm

Emiatt az Intel húzza a rövidebbet. Két évnyi huzavona után peren kívül rendezte egymással a vitás kérdéseit a két vállalat.
 
Nem közvetlenül az új technológiák, hanem a kiélezett versenyhelyzet, a gyorsan változó piaci igények és a vállalatok fájdalompontjai hajtják előre a fejlődést.

a melléklet támogatója a T-Systems

Hirdetés

T-Systems: rendszerintegrátor a gyártósorok mellett

A teljesen automatizált gyártósortól a szakmai kompetenciát kereső beszállítóig sokféle gyártóüzemmel találkozhatunk a hazai iparban. Megoldásszállítóként ezért az ügyfelek problémáit kell feltárni, és azok megoldásához kell optimális technológiát kínálni – állítja Kalmár Ákos, a T-Systems Magyarország vezérigazgató-helyettese és Tóth P. Péter üzletág-igazgató.

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.