Az Apache Software Foundation néhány napja kiadta a biztonsági rés javítását. Webes és helyi környezetben is telepíteni kell.
Hirdetés
 

Egy februárban felfedezett súlyos hibához adott ki javítást az Apache Software Foundation. A hiba kihasználásával az Apache webszervereken kártékony szkripteket lehet futtatni root jogosultsággal, és át lehet venni a szerver fölötti irányítást. A hiba a unixos Apache webszervereket érinti a 2.4.17-es verziótól a 2.4.38-asig. A problémára azért is érdemes odafigyelni, mert globálisan is az egyik legnépszerűbb webes kiszolgálóról van szó.

Alacsony jogosultásgból teljes hatalom

A hibát kihasználva a támadók alacsony jogosultságú ún. gyerekfolyamatokat (child process), például egy CGI szkriptet futtathatnak a szülő folyamat (parent process) jogosultságával. Ez azért veszélyes a Unix rendszereken, mert azokon az Apache HTTPd (HTTP daemon – egy háttérben futó program a webszerveren, amely automatikusan válaszol a bejövő kérésre, és a HTTP-n keresztül szolgáltatja a hipertext és multimédiás dokumentumokat) root jogosultásokkal fut.

A probléma leginkább a megosztott webes hosting környezeteket veszélyezteti. Kihasználásához először valamilyen módon hozzá kell férni a webszerverhez – mondta a sebezhetőséget felfedező Charles Fol biztonsági kutató a ZDnetnek. Ez azonban úgy is lehetséges, hogy a támadó regisztrál a megosztott hosting szolgáltatónál, vagy kompromittál egy meglévő hozzáférést.

Ha megvan a hozzáférés, akkor a támadó feltölt egy rosszindulatú CGI szkriptet a szerverre, amellyel átveszi az irányítást. Utána már lehetőséget kap arra, hogy malware-t telepítsen, vagy adatokat lopjon olyan felhasználóktól, akik azon a szerveren tárolják az adataikat. A felhasználó ugyanis a sérülékenységen keresztül teljes (root) hozzáférést kap a szerveren tárolt minden adathoz, azokat olvashatja, írhatja, törölheti.

Nem megosztott környezetben is okozhat bajt

Charles Fol szerint a biztonsági résre a nem megosztott hosting környezetben is érdemes odafigyelni, mert az egyéb szerverbiztonsági problémák lehetőségét is növeli az Apache webszervereknél. Egy támadó vagy egy penetrációs tesztet végző etikus hekker is általában első lépésben alacsony jogosultsággal rendelkezik. A mostani hiba azonban azt jelenti, hogy ha ezzel a jogosultsággal fel tud tölteni egy rosszindulatú CGI szkriptet, akkor onnantól már működik a fenti mechanizmus.

Éppen ezért Fol a minél előbbi javítást javasolja. Az Apache HTTP szerver 2.4.39-es kiadásában már javították a hibát. A kiadásban a fentiek mellett egy olyan, szintén fontos besorolású biztonsági rést is foltoztak, amelynek kiaknázásával ún. bypass vagy megkerüléses támadást lehet végrehajtani, azaz a rendszer védelmét lehet megkerülni érvényes hitelesítő adatok felhasználásával.

Biztonság

99,9 százalékban biztonságosak az uberes utazások

Akit a maradék egytized százalék érdekel, az átböngészheti vállalat legelső ízben kiadott biztonsági statisztikáit.
 
PR-interjú

A digitalizáció a kezünk alá dolgozik

Néhány év alatt organikus fejlődés révén vált távközlési vállalatból infrastruktúra alapú infokommunikációs szolgáltatóvá az Invitech. A társaság bevételeinek meghatározó részét mára a vállalati szolgáltatások üzletág adja. Vezetőjével az irányváltás hátteréről és a jövő lehetőségeiről beszélgettünk.

Nem elég beszélni róla, tenni is kell azért, hogy jövőállóbbak legyenek a vállalatok. Szerencsére ebben rengeteg technológia áll már a rendelkezésre, csak győzzünk válogatni közöttük.

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.