The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.09.2017 23:43  Уязвимости в Apache httpd и Apache Tomcat

В http-сервере Apache выявлена уязвимость (CVE-2017-9798), которая опубликована под кодовым именем Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга.

Для тестирования подверженности своих систем проблеме подготовлен прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запроса OPTIONS отдаётся содержимое уже освобождённого блока памяти, в котором могут находиться конфиденциальные данные от выполнения прошлых запросов.

Несмотря на специфичные условия проявления проблемы сканирование миллиона крупнейших сайтов по рейтингу Alexa выявило 466 проблемных хостов, в которых при имеющихся настройках происходит утечка данных. При этом, по заявлению разработчиков Apache, риск от данной уязвимости незначителен, так как можно получить лишь значение нескольких лишних байтов памяти. Исправление пока доступно в виде патча (для ветки 2.2, для ветки 2.4).

Дополнительно можно отметить выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет загрузить на сервер JSP-файл через специально оформленный запрос HTTP PUT и затем выполнить его с правами серверного процесса. Проблема проявляется только на платформе Windows при включении метода HTTP PUT. Также сообщается об ещё одной уязвимости (CVE-2017-12616), которая может привести к просмотру кода размещённых на сервере JSP-файлов, если данные файлы упоминаются в настройках директивы VirtualDirContext. Проблемы устранены в выпуске Apache Tomcat 7.0.81.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания
  3. OpenNews: Выпуск http-серверов Apache 2.4.27, nginx 1.13.3 и 1.12.1
  4. OpenNews: Выпуск http-сервера Apache 2.4.26 с полноценной поддержкой HTTP/2
  5. OpenNews: DoS-уязвимость в mod_http2 из состава http-сервера Apache
  6. OpenNews: Опасная уязвимость в Apache Tomcat
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, tomcat, httpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Sluggard, 02:33, 20/09/2017 [ответить] [смотреть все]
  • +1 +/
    Что происходит с продуктами Apache в последнее время? Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?
     
     
  • 2.2, О_о, 09:03, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    На самом деле Ынтырпрайз по большей части на джаве, а где джава -- там и томкат,... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, Аноним, 09:21, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    думаю, это последствия атаки на apache struts может стат анализаторы завезли, и... весь текст скрыт [показать] [показать ветку]
     
  • 2.6, пох, 09:41, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    да ничего с ними не происходит - к миллиону известных дыр прибавилась еще парочк... весь текст скрыт [показать] [показать ветку]
     
  • 2.13, Аноним, 13:25, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нет, просто существующие спецы начали работать ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 09:22, 20/09/2017 [ответить] [смотреть все]  
  • –4 +/
    Надоели уже с собственными именами для дыр...
     
     
  • 2.5, A.Stahl, 09:39, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    То ли дело легкозапоминающееся и благозвучное CVE-2017-9798 Или ты просто пон... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 18:33, 20/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    но ведь давать имя каждой ошибке и правда бред
     
     
  • 4.19, XoRe, 18:43, 20/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Дают не каждой, а только самым серьёзным по возможным последствиям ... весь текст скрыт [показать]
     
     
  • 5.20, Аноним, 20:41, 20/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Это, по-твоему, серьёзно Затронуто 0,04 установок, опасность есть только для ш... весь текст скрыт [показать]
     
  • 1.7, Аноним, 11:20, 20/09/2017 [ответить] [смотреть все]  
  • +/
    Ява неуязвима ... весь текст скрыт [показать]
     
     
  • 2.9, A.Stahl, 12:36, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Режим трололо (мощность 3.5 трл):
    Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."), который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.
     
     
  • 3.16, пох, 15:05, 20/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."),
    > который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.

    томкэт написан сановским инженером, думаю, вполне нехило оплачивавшимся в те-то благословенные годы. Сопровождается апачом, то есть, забесплатно вот вообще.


     
  • 1.8, Аноним, 11:47, 20/09/2017 [ответить] [смотреть все]  
  • +/
    А кто на винде контейнер сервлетов запускает в продакшене?
     
     
  • 2.10, щи, 12:39, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Если у вас нон-прод на винде, как у вас прод может быть не на винде? А нон-прод на винде получается очень просто: "а нам только попробовать", "а вот же сервер, поставьте сюда, покупать не нужно"
     
     
  • 3.11, Аноним, 12:59, 20/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Легко, разработчик предпочитает винду, сервер - Linux.
     
     
  • 4.12, Аноним, 13:10, 20/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А вы наверное хотите чтобы было наоборот сервер предпочитает винду, разработчик... весь текст скрыт [показать]
     
     
  • 5.17, Аноним, 15:07, 20/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Нет, вопрос был: "А кто на винде контейнер сервлетов запускает в продакшене?"
     
     
  • 6.21, Аноним, 23:48, 08/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Конечно, лучше докер на продакшене запустить.
     
  • 1.14, pripolz, 14:15, 20/09/2017 [ответить] [смотреть все]  
  • +/
    > Проблема проявляется только на платформе Windows

    гораздо смачнее, когда уязвимости становятся кроссплатформенными, как в случае с Апач-Струтса на Кисках.

     
     
  • 2.15, пох, 14:59, 20/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > как в случае с Апач-Струтса на Кисках

    вы не владеете темой.
    циска - это не только маршрутизаторы с мипсой внутри, это еще и просто коммерческий софт (и много чего еще). Весь струтс - он в софте, софт работает под обычным редхатом (или "почти-редхатом" - чтоб денег никому не платить) на обычном писюковом сервере, ничего "кроссплатформенного".

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor