Az Apache Software Foundation néhány napja kiadta a biztonsági rés javítását. Webes és helyi környezetben is telepíteni kell.

Egy februárban felfedezett súlyos hibához adott ki javítást az Apache Software Foundation. A hiba kihasználásával az Apache webszervereken kártékony szkripteket lehet futtatni root jogosultsággal, és át lehet venni a szerver fölötti irányítást. A hiba a unixos Apache webszervereket érinti a 2.4.17-es verziótól a 2.4.38-asig. A problémára azért is érdemes odafigyelni, mert globálisan is az egyik legnépszerűbb webes kiszolgálóról van szó.

Alacsony jogosultásgból teljes hatalom

A hibát kihasználva a támadók alacsony jogosultságú ún. gyerekfolyamatokat (child process), például egy CGI szkriptet futtathatnak a szülő folyamat (parent process) jogosultságával. Ez azért veszélyes a Unix rendszereken, mert azokon az Apache HTTPd (HTTP daemon – egy háttérben futó program a webszerveren, amely automatikusan válaszol a bejövő kérésre, és a HTTP-n keresztül szolgáltatja a hipertext és multimédiás dokumentumokat) root jogosultásokkal fut.

A probléma leginkább a megosztott webes hosting környezeteket veszélyezteti. Kihasználásához először valamilyen módon hozzá kell férni a webszerverhez – mondta a sebezhetőséget felfedező Charles Fol biztonsági kutató a ZDnetnek. Ez azonban úgy is lehetséges, hogy a támadó regisztrál a megosztott hosting szolgáltatónál, vagy kompromittál egy meglévő hozzáférést.

Ha megvan a hozzáférés, akkor a támadó feltölt egy rosszindulatú CGI szkriptet a szerverre, amellyel átveszi az irányítást. Utána már lehetőséget kap arra, hogy malware-t telepítsen, vagy adatokat lopjon olyan felhasználóktól, akik azon a szerveren tárolják az adataikat. A felhasználó ugyanis a sérülékenységen keresztül teljes (root) hozzáférést kap a szerveren tárolt minden adathoz, azokat olvashatja, írhatja, törölheti.

Nem megosztott környezetben is okozhat bajt

Charles Fol szerint a biztonsági résre a nem megosztott hosting környezetben is érdemes odafigyelni, mert az egyéb szerverbiztonsági problémák lehetőségét is növeli az Apache webszervereknél. Egy támadó vagy egy penetrációs tesztet végző etikus hekker is általában első lépésben alacsony jogosultsággal rendelkezik. A mostani hiba azonban azt jelenti, hogy ha ezzel a jogosultsággal fel tud tölteni egy rosszindulatú CGI szkriptet, akkor onnantól már működik a fenti mechanizmus.

Éppen ezért Fol a minél előbbi javítást javasolja. Az Apache HTTP szerver 2.4.39-es kiadásában már javították a hibát. A kiadásban a fentiek mellett egy olyan, szintén fontos besorolású biztonsági rést is foltoztak, amelynek kiaknázásával ún. bypass vagy megkerüléses támadást lehet végrehajtani, azaz a rendszer védelmét lehet megkerülni érvényes hitelesítő adatok felhasználásával.

Biztonság

Elindult a nagy 5G-s projekt. Összeállt a frekvenciapályázat tervezete

Az NMHH közzétette a menetrendet: nyáron nyilvános konzultáció, majd a jelentkezés, szeptemberben pedig jöhet a frekvenciaaukció.
 
Könnyen érthető, de fejlett védelmi megoldások nélkül nehezen elhárítható módszert követnek a bizalmas információk ellopására utazó kiberbűnözők.

a melléklet támogatója a BalaSys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.