SuSE: Enkel fiks for alvorlig sikkerhetshull

Det amerikanske sikkerhetsselskapet @stake har oppdaget et sikkerhetshull i SuSE Linux som kan gi angripere tilgang til passord. Hullet er lett å tette.

SuSE er Europas største Linux-distributør. @stake offentliggjorde i forrige uke en sikkerhetsadvarsel vedrørende standardkonfigureringen av webtjeneren Apache i SuSEs Linux-distribusjoner 6.3 og 6.4. Selskapet advarer at hullet også kan gjelde tidligere distribusjoner.

Måten SuSE har innstilt Apache-tjeneren på gjør at det er mulig for angripere å få tilgang til kildekoden til CGI-skripter. Slike skripter inneholder ofte følsom informasjon, blant annet brukeridentiteter og passord for tilgang til databaser og interne applikasjoner. @stake peker videre på at angripere kan bruke CGI-skriptene til å analysere seg fram til mulige svakheter ved tjeneroppsettet, og til slutt være i stand til å skaffe seg full tilgang til tjeneren.

@stake anviser en enkel måte å endre innstillingen slik at hullet kan tettes. En fiks skal være underveis fra SuSE, men i skrivende stund står det ingenting om dette sikkerhetshullet på SuSEs nettsted.

@stake offentliggjør også detaljer og tetningsanvisning på et mindre alvorlig sikkerhetshull i WebDAV-modulen ("Web-based Distributed Authoring and Versioning") i SuSE 6.4. Dette hullet gjør det mulig for angripere å lese filkatalogene på tjeneren.

Les om andre sikkerhetshull:


Sikkerhetshull skaper panikk i Unix-verden
Ny e-post-sikring endelig lansert
Sparebanken NOR: - Begrenset innsyn i sikkerhetshull
En million bankkonti lå åpent på Internett
Netscape-oppdatering tetter sikkerhetshull
125.000 datanettverk kan bli smurfe-slaver

Til toppen