The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.09.2017 23:43  Уязвимости в Apache httpd и Apache Tomcat

В http-сервере Apache выявлена уязвимость (CVE-2017-9798), которая опубликована под кодовым именем Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга.

Для тестирования подверженности своих систем проблеме подготовлен прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запроса OPTIONS отдаётся содержимое уже освобождённого блока памяти, в котором могут находиться конфиденциальные данные от выполнения прошлых запросов.

Несмотря на специфичные условия проявления проблемы сканирование миллиона крупнейших сайтов по рейтингу Alexa выявило 466 проблемных хостов, в которых при имеющихся настройках происходит утечка данных. При этом, по заявлению разработчиков Apache, риск от данной уязвимости незначителен, так как можно получить лишь значение нескольких лишних байтов памяти. Исправление пока доступно в виде патча (для ветки 2.2, для ветки 2.4).

Дополнительно можно отметить выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет загрузить на сервер JSP-файл через специально оформленный запрос HTTP PUT и затем выполнить его с правами серверного процесса. Проблема проявляется только на платформе Windows при включении метода HTTP PUT. Также сообщается об ещё одной уязвимости (CVE-2017-12616), которая может привести к просмотру кода размещённых на сервере JSP-файлов, если данные файлы упоминаются в настройках директивы VirtualDirContext. Проблемы устранены в выпуске Apache Tomcat 7.0.81.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания
  3. OpenNews: Выпуск http-серверов Apache 2.4.27, nginx 1.13.3 и 1.12.1
  4. OpenNews: Выпуск http-сервера Apache 2.4.26 с полноценной поддержкой HTTP/2
  5. OpenNews: DoS-уязвимость в mod_http2 из состава http-сервера Apache
  6. OpenNews: Опасная уязвимость в Apache Tomcat
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, tomcat, httpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Sluggard (ok), 02:33, 20/09/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Что происходит с продуктами Apache в последнее время? Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?
     
     
  • 2.2, О_о (?), 09:03, 20/09/2017 [^] [ответить]    [к модератору]
  • +2 +/
    На самом деле Ынтырпрайз по большей части на джаве, а где джава -- там и томкат, а с Ынтырпрайза можно попытаться поиметь профит используя вымогатели и уязвимости...

    Кроме того вэб-сервер апача вроде как тоже один из самых распространённых.

    А кому интересно ломать то, что никем не используется? ;)

     
  • 2.3, Аноним (-), 09:21, 20/09/2017 [^] [ответить]    [к модератору]
  • +2 +/
    думаю, это последствия атаки на apache struts. может стат.анализаторы завезли, или еще что
     
  • 2.6, пох (?), 09:41, 20/09/2017 [^] [ответить]     [к модератору]
  • –4 +/
    да ничего с ними не происходит - к миллиону известных дыр прибавилась еще парочк... весь текст скрыт [показать]
     
  • 2.13, Аноним (-), 13:25, 20/09/2017 [^] [ответить]    [к модератору]  
  • +/
    > Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?

    Нет, просто существующие спецы начали работать.

     
  • 1.4, Аноним (-), 09:22, 20/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Надоели уже с собственными именами для дыр...
     
     
  • 2.5, A.Stahl (ok), 09:39, 20/09/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    То ли дело легкозапоминающееся и благозвучное CVE-2017-9798...
    Или ты просто поныть, а более внятного повода не нашёл?
     
     
  • 3.18, Аноним (-), 18:33, 20/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    но ведь давать имя каждой ошибке и правда бред
     
     
  • 4.19, XoRe (ok), 18:43, 20/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > но ведь давать имя каждой ошибке и правда бред

    Дают не каждой, а только самым серьёзным (по возможным последствиям).

     
     
  • 5.20, Аноним (-), 20:41, 20/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Это, по-твоему, серьёзно? Затронуто 0,04% установок, опасность есть только для шаредов, и вообще непонятно, что можно из этих жалких нескольких байтов извлечь.
     
  • 1.7, Аноним (-), 11:20, 20/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket

    Ява неуязвима!

     
     
  • 2.9, A.Stahl (ok), 12:36, 20/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Режим трололо (мощность 3.5 трл):
    Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."), который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.
     
     
  • 3.16, пох (?), 15:05, 20/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."),
    > который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.

    томкэт написан сановским инженером, думаю, вполне нехило оплачивавшимся в те-то благословенные годы. Сопровождается апачом, то есть, забесплатно вот вообще.


     
  • 1.8, Аноним (-), 11:47, 20/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А кто на винде контейнер сервлетов запускает в продакшене?
     
     
  • 2.10, щи (?), 12:39, 20/09/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Если у вас нон-прод на винде, как у вас прод может быть не на винде? А нон-прод на винде получается очень просто: "а нам только попробовать", "а вот же сервер, поставьте сюда, покупать не нужно"
     
     
  • 3.11, Аноним (-), 12:59, 20/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Легко, разработчик предпочитает винду, сервер - Linux.
     
     
  • 4.12, Аноним (-), 13:10, 20/09/2017 [^] [ответить]    [к модератору]  
  • +/
    А вы наверное хотите чтобы было наоборот: сервер предпочитает винду, разработчик - Linux.
     
     
  • 5.17, Аноним (-), 15:07, 20/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Нет, вопрос был: "А кто на винде контейнер сервлетов запускает в продакшене?"
     
     
  • 6.21, Аноним (-), 23:48, 08/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Конечно, лучше докер на продакшене запустить.
     
  • 1.14, pripolz (?), 14:15, 20/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Проблема проявляется только на платформе Windows

    гораздо смачнее, когда уязвимости становятся кроссплатформенными, как в случае с Апач-Струтса на Кисках.

     
     
  • 2.15, пох (?), 14:59, 20/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > как в случае с Апач-Струтса на Кисках

    вы не владеете темой.
    циска - это не только маршрутизаторы с мипсой внутри, это еще и просто коммерческий софт (и много чего еще). Весь струтс - он в софте, софт работает под обычным редхатом (или "почти-редхатом" - чтоб денег никому не платить) на обычном писюковом сервере, ничего "кроссплатформенного".

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor