Οι ευπάθειες του Apache είναι υπεύθυνες για τις σημαντικότερες παραβιάσεις του. Ερευνητές της Akamai εντόπισαν πρόβλημα στον τρόπο με τον οποίο χιλιάδες projects κώδικα, χρησιμοποιούν την λειτουργία .htaccess του Apache, εκθέτοντας τον σε μη εξουσιοδοτημένη πρόσβαση και σε επίθεση μέσω file upload -αυτόματα εκτελούμενος κώδικας "φορτώνεται" σε μια εφαρμογή.
Η λειτουργία .htaccess απενεργοποιήθηκε από προεπιλογή από την έκδοση 2.3.9, επειδή η αλόγιστη χρήση της, έκθετε σε κίνδυνο τους χρήστες. Το πρόβλημα της ευπάθειας δημιουργείται όταν ένας developer διαβάζει παλιό documentation και κάνει χρήση της .htaccess για πιστοποίηση, αντί των μεθόδων που συστήνει το Apache Foundation.
Πηγή : DarkreadingCashdollar said he got a feeling for the scope of the vulnerability when he explored a software project by Blueimp called jQuery File Upload. It is a frequently used file upload widget that allows many file types to be uploaded to a website built with a number of different programming languages.
jQuery File Upload is popular. "The project in GitHub has 7,800 clones of it or forks," Cashdollar said. "So there are at least 7,800 derivatives of this vulnerable code out there." GitHub allowed him to see 1,000 of these forks, and he hand-checked dozens; all were vulnerable.
Εμφάνιση 1-8 από 8
-
18-10-18, 20:54 Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.767
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
18-10-18, 23:18 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #2
Αν ο developer διαβάζει παλιό documentation, είναι άξιος της μοίρας του.
-
19-10-18, 00:07 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #3
Το αναμενόμενο όμως, ειδικά για τόσο μεγάλα και κρίσιμα συστήματα όπως ο Apache, είναι να μη σπάει το backwards compatibility. Αν ένα σύνηθες σενάριο χρήσης σε επόμενη έκδοση κρίνεις ότι είναι επισφαλές, φροντίζεις να τροποποιήσεις την υλοποίηση με τέτοιο τρόπο ώστε και ασφαλής να γίνει εκείνο το συγκεκριμένο σενάριο αλλά και να συνεχίσουν να λειτουργούν όλα τα υπόλοιπα σενάρια που χρησιμοποιούν τα υποσυστήματα που άλλαξες. Αλλιώς είτε κάνεις fork του συστήματος και τα αλλάζεις όλα, είτε τρως πολύ, ίσως πάρα πάρα πολύ χρόνο, για να εντοπίζεις τις προβληματικές χρήσεις και να πετάς ένα κάρο warnings ή errors. Αλλιώς, αν τα 10 πρώτα αποτελέσματα στο google δίνουν διαφορετικά guidelines από τα καινούργια, τρέχα γύρευε...
Τουλάχιστον απενεργοποίησαν εντελώς by default το htaccess. Τι θέματα θα δημιουργηθούν στα projects που δε συντηρούνται μένει να φανεί...Τελευταία επεξεργασία από το μέλος dkgr_ser : 19-10-18 στις 00:18.
-
19-10-18, 08:22 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #4
Να ήταν τυπικοί και να μην το αφήναν έτσι. Τι πάει να πει δεν έβρισκαν το Documentation και πρέπει να είναι Backwards compatible. Δηλαδή αν πας σε ένα μηχανικό αυτοκινήτων με μια BMW του 2000 θα κάνει τα ίδια με μια του 2019 γιατί δεν είχε το manual πρόχειρο;
-
19-10-18, 10:56 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #5
@dkgr_ser
Δεν συμφωνώ όταν υπάρχει ένα project σαν τον Apache web server με τόσες εκδόσεις δεν μπορείς να περιμένεις να είναι 100% συμβατός με τις πρώτες. Πάρε παράδειγμα την Python 3++ όταν έγινε η αλλαγή της από 2 σε 3 ήταν καθοριστική, δεν υπήρχε λόγος να γίνει fork, συμβατές δεν είναι όμως η αναβάθμιση αυτή έδωσε την python σε πολύ κόσμο. Ειδικά όταν προσπαθείς να patchareis σωστά κάποια bugs κάποια στιγμή θα αλλάξει και λίγο η αρχιτεκτονική αυτού που χτίζεις. Μην ξεχνάς ή πρώτη του έκδοση ήταν το 1993 (εγώ το 93 είχα Amstrad CPC 6128). Η ευθύνη βαραίνει τους developer είναι υποχρέωσή τους να ενημερώνονται και να συντηρούνΜην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις
-
19-10-18, 14:29 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #6
-
19-10-18, 14:40 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #7
Δε διαφωνώ στο ότι οι developers έχουν/με τη βασική ευθύνη σε τέτοια συμβάντα, αλλά το ίδιο μπορείς να πεις για την ευθύνη του πλήθους και σε όλα τα υπόλοιπα προβλήματα της κοινωνίας. Αν περιμένεις όλοι να γίνουν σωστοί, απλά θα μείνεις στο περίμενε. Γι' αυτό όλες οι μεγάλες εταιρείες που δίνουν τέτοια κρίσιμα συστήματα συνήθως παίρνουν ως δεδομένο πως ο χρήστης των προϊόντων τους θα τα κάνει όλα ή σχεδόν όλα λάθος αν αφεθεί μόνος του, γι' αυτό και δημιουργούν δικλείδες ασφαλείας μέχρι αηδίας.
-
20-10-18, 06:38 Απάντηση: Λανθασμένη χρήση λειτουργίας πιστοποίησης του Apache, κάνει ευπαθείς χιλιάδες εφαρμογές #8
Βασικά φταίει ο developer.
Ή αυτός του apache, ή ο άλλος.Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
Παρόμοια Θέματα
-
Apache με σκληρό δίσκο
Από Red Yonko στο φόρουμ Web authoring, development & web designΜηνύματα: 7Τελευταίο Μήνυμα: 01-09-18, 20:57 -
Ερώτηση για installation του Apache Server
Από Red Yonko στο φόρουμ Web authoring, development & web designΜηνύματα: 2Τελευταίο Μήνυμα: 26-04-18, 23:37 -
Apache Web Server
Από vasilisfrgr στο φόρουμ Software γενικάΜηνύματα: 2Τελευταίο Μήνυμα: 11-12-17, 16:43 -
Ρύθμιση του iOS αφήνει όλες τις εφαρμογές με άδεια χρήσης της κάμερας, να καταγράφουν εικόνα και video στα κρυφά
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 21Τελευταίο Μήνυμα: 30-10-17, 11:46
Bookmarks