Bugok: Figyelem itt az új Apache féreg

Bug

A ZDNet egyik cikke a "Watch out for new Apache worm" címet kapta.

A féregnek még nincs neve - csak FreeBSD rendszereken él meg - saját flood hálózatot épít - más (nem FreeBSD) rendszereket is DoS-olhat - várható a megjelenése Linux/Solaris/Unix rendszerekre is

A cikk szerint a biztonsági szakértők azon dolgoznak, hogy dekódolják az a férget, amely a kb. 2 hete ismert Apache hibát használja ki. A féreg egyelőre csak a FreeBSD alapon futó, biztonsági patchel nem rendelkező Apache szervereken képes terjedni. Bár voltak emberek akik az jelentették, hogy a féreg képes megfertőzni a más rendszern futó Apache szervereket világszerte.

"Ez terjed" - mondta Domas Mituzas, aki rendszer fejlesztő a Microlink Systems-nél, amely egy balti információ-technológiai cég. "Lengyelországból ért el minket, de a megjegyzések olaszul vannak, tehát jöhetett a világ bármely pontjáról."A féreg előzetes vizsgálata után a 19 éves litván programozó azt állítja, hogy a féreg úgy lett tervezve, hogy képes legyen hálózati floodolásra a kompromittált szerverek között, és felhasználható D0S (Denial of Service) típusú támadásra.

Az eredeti advisory-ban az szerepelt, hogy a biztonsági rést csak Windows rendszereken lehet kihasználni, de a hibát felfedező ISS cég a későbbiekben korrigált, és azt állította, hogy az összes rendszeren futó Apache szerver érintett a hibában. Ezt bizonyítandó a csapat kiadott egy exploitot amelyet *BSD rendszeren lehet használni.

Ez a publikáció valószínűleg segitett a féreg írójának, mondta Mituzas. Szerinte különben elképzelhetetlen lenne, hogy valaki ilyen gyorsan megírja az exploitot.

Marc Maiffret az eEye Digital Security munkatársa (a Code Red egyik fő analizátora) is elismeri, hogy a féreg stabil Apache szervereket "készít" magának, afféle zombikat, amelyet majd a később használ fel a támadáshoz.

"Tulajdonképpen felállítja a saját flood hálózatát" - mondja Maiffret majd hozzáteszi, hogy ezen kívül még van valami más pusztító dolog is a féregben.

Jelenleg 10.4 millió aktív Web site fut Apache alapon (Netcraft szerint), bár ennek csak kis része fut jelenleg FreeBSD-n, Mituzas és Maiffret figyelmeztet, hogy megjelenhet olyan variánsa is a féregnek, amely veszélyes lehet Linux/Solaris és más Unix rendszerekere.

Jelenleg, ha a féreg nem-FreeBSD rendszert támad meg, akkor a szerver sessionje lehal, amellyel a féreg kapcsolódik. Ha a féreg megtámad, a sessionje lehal, és ez folyamatosan így megy, akkor ez hasonlít egy Denial of Service típusú támadáshoz.

A féregnek még nincs neve.

Mindenki frissítsen, a saját és mások érdekében!

( prygme | 2002. 06. 30., v – 02:25 )

Ez együtt jár az apache nagyarányú elterjedtségével. Úgy látszik a monokultúra opensource-ban se jó.
Szerintetek, amennyiben nincs szükség apache-only funkciókra; olyan alternatív HTTPserverek, mint a
khttpd, vagy a tux növelik egy webserver-gép biztonságát?

Szerintem segithet, sot azt mondom, hogy ott ahol nem indokolt az Apache hasznalata - mert mondjuk nincs szuksegunk kizarolag az apache altal nyujtott funkciokra - ott hasznaljunk valamilyen alternativ httpd-t. Szamos kicsi, gyors, hatekony webszerver letezik. Ismerek olyat, ami 400 soros perl program, statikus oldalak kiszolgalasara tokeletes. Es ahogy mondod, itt van Molnar Ingo Tux kernel-alapu http szervere is.