Avluser web-server

Apache Group, organisasjonen som står bak den populære web-serveren Apache, annonserte tirsdag en oppdatering av programvaren som retter opp en rekke sikkerhetsfeil.

Feilene er blitt oppdaget ved en intern sikkerhetsgjennomgang av kildekoden til Apache. Ifølge organisasjonen tillater ingen av hullene i koden uautorisert rot-aksess, de påvirker bare brukeren Apache kjører på, som er satt ved hjelp av "USER"-direktivet.

Apache Group advarer likevel nettsteder som har denne brukeren satt til rot. Disse bør fikse konfigurasjonen sin med det samme fordi de ellers har et gapende sikkerhetshull.

Noen av feilene som er funnet vil muligens ikke kunne utnyttes slik den virkelige verden forholder seg. Det er bare administratoren for systemet som kjører Apache som kan bedømme hvilken betydning feilene har for det enkelte miljø.

Apache Group har nå oppgradert Apache til versjon 1.2.5 og anbefaler alle som har eldre utgaver av serveren om å hente oppgradering ned fra organisasjonens nettsted.

Når det gjelder betaversjonen til Apache 1.3, vil det ikke komme noen 1.3b4-utgivelse for å rette disse problemene. I stedet vil Apache Group lage en eller flere feilfikser som endrer koden på de aktuelle stedene i programvaren til versjon 1.3b3.

Apache Group vurderer ingen av feilene som spesielt risikable, men trekker frem tre feil som kan skape problemer.

1. Bufferoversvømmelse i cfg_getline. Det er mulig å skape en sekvens av data på en slik måte at et buffer flommer over når cfg_getline leser fra en fil. Eksempler på filer som Apache bruker cfg_getline for å lese er htaccess, htpasswd og mod_imap filer. Hvis noen har tilgang til å lage slike filer på serveren, kan dette hullet utnyttes til å oppnå full aksess til brukeren Apache kjører på.

2. Flere feil i koden i mod_include. Det er flere kodeproblemer i mod_include som kan resultere i en bufferoversvømmelse eller i at en barnprosess går inn i en uendelig løkke. Generelt sett må en bruker allerede ha tilgang til serveren for å kunne utnytte dette.

3. Lite effektiv fjerning av duplikate slasker. Koden i no2slash() funksjonen brukes til å samle flere etterfølgende slasker (slash - / - slask ifølge Språkrådet, som synes å ha glemt at det allerede eksisterer et ord for skråstrek...) i en forespørsel til bruk for tilgangskontroll er svært ineffektiv. Ved å sende mange forespørsler med lange løkker av slasker til en server, kan dette føre til at en stor andel av CPU-tiden blir brukt til å prosessere disse forespørslene. Dette kan føre til at prosessoren ikke vil ta imot forespørsler fra andre prosesser. Dette kalles ofte "denial of service attack".

Lasse Øverlier, teknisk sjef ved EUnet Norge, sier til digi.no at han er klar over oppdateringen, men ennå ikke har fått installert den. Foreløpig har han heller ikke merket noe til feilene i den forrige utgaven. EUnet Norge bruker Apache til blant annet Internett-byen Nettvik.

Til toppen