Hiba az Apache webszerverekben

Apache

Az Apache Software Foundation arra figyelmeztet, hogy olyan hibát javítottak az Apache webszerverben, amely az összes fő verziót érinti. Egy off-by-one típusú hiba van az Apache Rewrite moduljában, a mod_rewrite-ban. Függően attól, hogy az Apache webszerver hogyan van fordítva, a hiba bizonyos esetekben (bizonyos típusú rewrite rule-ok megléte esetén) távolról kihasználható.

A hibás verziókban a hiba kihasználása DoS-hoz (a httpd processz összeomlásához) vagy rosszabb esetben távoli kódfuttatáshoz vezethet. A hibát az Apache HTTP Server Security Team komolynak ítélte. A hiba a CVE-2006-3747 hibajegy alatt fut. Érdemes minden olyan Apache felhasználónak frissítenie, aki mod_rewrite modult használ. A mod_rewrite modul alapértelmezett Apache telepítés esetén nincs betöltve, így az alapértelmezett telepítéseket nem érinti a hiba.

A bejelentések: Apache 2.2.3, 2.0.59, 1.3.37

Egyes szoftver disztribútorok - mint például a FreeBSD, Ubuntu - már reagáltak a hibára.

( boobaa | 2006. 07. 29., szo – 17:58 )

A Frugalware is reagált - igaz, hogy nálunk nincs ilyen "értesítsünk-mindenkit-minden-hibáról" című lista. voroskoi?

( Aikon | 2006. 07. 29., szo – 18:47 )

Sziasztok!

Nem egészen ide tartozik, de talán mégis. Pár hete volt cikk linux kernelhibáról, amivel root jogot lehet szerezni, expolit közkézen. AMD64-es Debianomon kipróbáltam. Volt sikerélményem :). Azóta szoralmassan apt-get update apt-get upgradeelek, de eddig még nincs hivatalos frissítés. Az a kérdésem, hogy lesz -e újabb generikus kernel, vagy nekem kell majd fordítani, ha szekjúr rendszert akarok.

Vagy netán én b**ztam el valamit? /etc/apt/sources.list: 


deb http://debian-amd64.alioth.debian.org/debian-pure64/ sarge main contrib non-free
deb-src http://debian-amd64.alioth.debian.org/debian-pure64/ sarge main contrib non-free
deb http://security.debian.org/ stable/updates main contrib non-free

Abban igazad van, hogy a sarge-ból nincs kiadott AMD64-es változat, viszont a sarge életciklusában is nyújtanak már támogatást az amd64 portra. Sajnos azonban a sarge-al kiadott debian-féle 2.6.8 erősen problémás a korai amd64-es gépeken kívül bármin, így a kiadott kernel javítás kevesek számára használható.

Debian Project adds Security Support for AMD64
Az első AMD64-es security announce
A konrét kernel javítás, benne az amd64-es infókkal is

Nem követem egy ideje a Debian-t, de az világos volt még ennyi idő (lassan egy év) távlatából is, hogy az AMD64 problémás jelenleg. Senki sem javasolja éles rendszerre. Majd talán az etch lesz az első, amiben hivatalosan támogatott portként fog szerepelni. Nem?

--
trey @ gépház

De. Csak annyit tennék hozzá, hogy a kiadott unofficial sarge-amd64 változatot és a security.debian.org-ról érkező - fent hivatkozott - update-eket teljesen problémamentesen tudtuk használni, egyedül a kernelt kellett cserélnünk, mert a Tyan alaplap BIOS-ának MTRR initialization bugja miatt legalább 2.6.12 kellett. Akkoriban egyébként is rengeteg x86-64 related javítás volt verzióról verzióra a 2.6-os sorozatban.

A Debian release kerneleket egyébként sem tudtuk használni az i386 architektúrájú gépeinken sem, a 2.4 régi volt és gyenge volt a kernel security támogatás a debiantól, a 2.6.8-at pedig ők sem gondolhatták komolyan ;) Pont ez volt az egyik ok, amikor az új DL145-ösökre breezy került, amit aztán nagy megelégedéssel használtunk. Itt jegyezném meg, hogy sokat javult a debian kernel csapat munkája az eltelt másfél év alatt, jelenleg nagyon jó minőségű és publikusan követhető munkát végeznek, és a security reagálási idejük is sokkal jobb a megszokottnál. Az etch kiadásával még könnyebb dolguk is lesz, egyetlen közös kernel source csomag van minden architektúrához.

Tudtad-e például, hogy a woodyban 11 kernel source csomag volt, kb. 3-szor ennyi bináris csomaggal. Egy security update során ennyi forrást kellene külön-külön több-kevesebb munkával karbantartani. Ezért nem tudtak hozzá értelmes update-eket kiadni már régóta, holott hivatalosan idén június 30-ig támogatták azt. Az etch ebbpl a szempontól is egy nagyon szép release lesz. Decemberben, pontosan :)

ez volt, mert most tettem fel uj kernelt:
# uname -a
Linux x 2.6.14-1-amd64-k8-smp #1 SMP Sun Nov 6 17:10:59 UTC 2005 x86_64 GNU/Linux
# uptime
22:36:15 up 96 days, 15:57, 1 user, load average: 1.58, 1.69, 1.73

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( Polesz v | 2006. 07. 29., szo – 18:50 )

Slackware-nél is észrevették már időben:

Fri Jul 28 17:32:54 CDT 2006
n/apache-1.3.37-i486-1.tgz: Upgraded to apache-1.3.37.
From the announcement on httpd.apache.org:
This version of Apache is security fix release only. An off-by-one flaw
exists in the Rewrite module, mod_rewrite, as shipped with Apache 1.3
since 1.3.28, 2.0 since 2.0.46, and 2.2 since 2.2.0.
The Slackware Security Team feels that the vast majority of installations
will not be configured in a vulnerable way but still suggests upgrading to
the new apache and mod_ssl packages for maximum security.
For more details, see:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3747
And see Apache's announcement here:
http://www.apache.org/dist/httpd/Announcement1.3.html
(* Security fix *)
n/mod_ssl-2.8.28_1.3.37-i486-1.tgz: Upgraded to mod_ssl-2.8.28-1.3.37.

--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!

( Panther v | 2006. 07. 29., szo – 18:57 )

Néha komyolyoan úgy gondolom, még otthon sem szabad nem hardened kernelt használni. Akkor csak kernel hiba okozhat gondot.

Én túlképpen poénnak szántam, szóval kb ugyanott vagyunk, mondjuk érdekes ez a hibajavítás a disztrók részéről. A gentoo általában a leggyorsabban reagál egy-egy bejelentésre, viszont nagyon sok csomagjuk nem aktuális teljesen.

--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!

( WoOh | 2006. 07. 29., szo – 20:21 )

Kicsit megijedtem, de rajottem hogy alapertelmezett telepiteseket nem erinti a hiba. Hala egnek.

OpenBSD kivancsi vagyok mikor dob ki patch-et. Vagy hogy lesz-e errata belole attol fuggetlenul, hogy default installban nincs benne.

--
Live Free or Die
UNIX

( bastya_elvtars | 2006. 07. 29., szo – 20:26 )

Szerintem azért vártak eddig, hogy 1337 legyen! :-D