The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в Apache httpd и Apache Tomcat"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от opennews (ok) on 20-Сен-17, 02:33 
В http-сервере Apache выявлена (https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTION...) уязвимость (CVE-2017-9798 (https://security-tracker.debian.org/tracker/CVE-2017-9798)), которая опубликована под кодовым именем  Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга.


Для тестирования подверженности своих систем проблеме подготовлен (https://github.com/hannob/optionsbleed) прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запроса OPTIONS отдаётся содержимое уже освобождённого блока памяти, в котором могут находиться конфиденциальные данные от выполнения прошлых запросов.


Несмотря на специфичные условия проявления проблемы сканирование миллиона крупнейших сайтов по рейтингу Alexa выявило 466 проблемных хостов, в которых при имеющихся настройках происходит утечка данных.
При этом, по заявлению разработчиков Apache,  риск от данной уязвимости незначителен, так как можно получить лишь значение нескольких лишних байтов памяти. Исправление пока доступно в виде патча (для ветки 2.2 (https://blog.fuzzing-project.org/uploads/apache-2.2-optionsb...), для ветки 2.4 (https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/ser...)).

Дополнительно можно отметить выявление (http://openwall.com/lists/oss-security/2017/09/19/1) уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет загрузить на сервер JSP-файл через специально оформленный запрос  HTTP PUT из затем выполнить его с правами серверного процесса. Проблема проявляется только на платформе Windows при включении метода HTTP PUT. Также сообщается об ещё одной уязвимости (CVE-2017-12616), которая может привести к просмотру кода размещённых на сервере JSP-файлов, если данные файлы упоминаются в настройках директивы VirtualDirContext. Проблемы устранены в выпуске
Apache Tomcat 7.0.81 (http://tomcat.apache.org/).

URL: http://openwall.com/lists/oss-security/2017/09/18/2
Новость: http://www.opennet.dev/opennews/art.shtml?num=47234

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Apache httpd и Apache Tomcat"  +1 +/
Сообщение от Sluggard (ok) on 20-Сен-17, 02:33 
Что происходит с продуктами Apache в последнее время? Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в Apache httpd и Apache Tomcat"  +2 +/
Сообщение от О_о on 20-Сен-17, 09:03 
На самом деле Ынтырпрайз по большей части на джаве, а где джава -- там и томкат, а с Ынтырпрайза можно попытаться поиметь профит используя вымогатели и уязвимости...

Кроме того вэб-сервер апача вроде как тоже один из самых распространённых.

А кому интересно ломать то, что никем не используется? ;)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимости в Apache httpd и Apache Tomcat"  +2 +/
Сообщение от Аноним (??) on 20-Сен-17, 09:21 
думаю, это последствия атаки на apache struts. может стат.анализаторы завезли, или еще что
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимости в Apache httpd и Apache Tomcat"  –4 +/
Сообщение от пох on 20-Сен-17, 09:41 
да ничего с ними не происходит - к миллиону известных дыр прибавилась еще парочка.
образцом хорошего кода они никогда и не были.

Вряд ли наняли - скорее, студиозусы заинтересовались и быстренько расковыряли что сверху лежало.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от Аноним (??) on 20-Сен-17, 13:25 
> Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?

Нет, просто существующие спецы начали работать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в Apache httpd и Apache Tomcat"  –4 +/
Сообщение от Аноним (??) on 20-Сен-17, 09:22 
Надоели уже с собственными именами для дыр...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимости в Apache httpd и Apache Tomcat"  +3 +/
Сообщение от A.Stahl (ok) on 20-Сен-17, 09:39 
То ли дело легкозапоминающееся и благозвучное CVE-2017-9798...
Или ты просто поныть, а более внятного повода не нашёл?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Уязвимости в Apache httpd и Apache Tomcat"  +1 +/
Сообщение от Аноним (??) on 20-Сен-17, 18:33 
но ведь давать имя каждой ошибке и правда бред
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Уязвимости в Apache httpd и Apache Tomcat"  –1 +/
Сообщение от XoRe (ok) on 20-Сен-17, 18:43 
> но ведь давать имя каждой ошибке и правда бред

Дают не каждой, а только самым серьёзным (по возможным последствиям).

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Уязвимости в Apache httpd и Apache Tomcat"  –1 +/
Сообщение от Аноним (??) on 20-Сен-17, 20:41 
Это, по-твоему, серьёзно? Затронуто 0,04% установок, опасность есть только для шаредов, и вообще непонятно, что можно из этих жалких нескольких байтов извлечь.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

7. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от Аноним (??) on 20-Сен-17, 11:20 
>выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket

Ява неуязвима!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимости в Apache httpd и Apache Tomcat"  +1 +/
Сообщение от A.Stahl (ok) on 20-Сен-17, 12:36 
Режим трололо (мощность 3.5 трл):
Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."), который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Уязвимости в Apache httpd и Apache Tomcat"  –1 +/
Сообщение от пох on 20-Сен-17, 15:05 
> Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."),
> который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.

томкэт написан сановским инженером, думаю, вполне нехило оплачивавшимся в те-то благословенные годы. Сопровождается апачом, то есть, забесплатно вот вообще.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

8. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от Аноним (??) on 20-Сен-17, 11:47 
А кто на винде контейнер сервлетов запускает в продакшене?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Уязвимости в Apache httpd и Apache Tomcat"  +3 +/
Сообщение от щи on 20-Сен-17, 12:39 
Если у вас нон-прод на винде, как у вас прод может быть не на винде? А нон-прод на винде получается очень просто: "а нам только попробовать", "а вот же сервер, поставьте сюда, покупать не нужно"
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Уязвимости в Apache httpd и Apache Tomcat"  –1 +/
Сообщение от Аноним (??) on 20-Сен-17, 12:59 
Легко, разработчик предпочитает винду, сервер - Linux.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от Аноним (??) on 20-Сен-17, 13:10 
А вы наверное хотите чтобы было наоборот: сервер предпочитает винду, разработчик - Linux.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от Аноним (??) on 20-Сен-17, 15:07 
Нет, вопрос был: "А кто на винде контейнер сервлетов запускает в продакшене?"
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от Аноним (??) on 08-Окт-17, 23:48 
Конечно, лучше докер на продакшене запустить.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

14. "Уязвимости в Apache httpd и Apache Tomcat"  +/
Сообщение от pripolz on 20-Сен-17, 14:15 
> Проблема проявляется только на платформе Windows

гораздо смачнее, когда уязвимости становятся кроссплатформенными, как в случае с Апач-Струтса на Кисках.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимости в Apache httpd и Apache Tomcat"  –1 +/
Сообщение от пох on 20-Сен-17, 14:59 
> как в случае с Апач-Струтса на Кисках

вы не владеете темой.
циска - это не только маршрутизаторы с мипсой внутри, это еще и просто коммерческий софт (и много чего еще). Весь струтс - он в софте, софт работает под обычным редхатом (или "почти-редхатом" - чтоб денег никому не платить) на обычном писюковом сервере, ничего "кроссплатформенного".

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру