Den åpen kildekode-baserte Varnish Cache-programvaren, som i sin tid ble utviklet på oppdrag fra VG Nett, benyttes av svært mange nettsteder verden over til å gjøre leveringen av webinnhold mer effektiv.
Men nå bør samtlige nettsteder oppdatere programvaren. For første gang siden Varnish ble levert, har det blitt funnet en sårbarhet i programvaren. Det skriver Poul-Henning Kamp i et kort blogginnlegg hos danske Version2. Det er Kamp som opprinnelig lagde Varnish og som har vært hovedutvikler i de elleve årene som har gått siden lanseringen.
I den første sikkerhetsrapporten fra Varnish-prosjektet noensinne, opplyses det at en feil i en if-test i kildekoden til varnishd gjør at visse feilaktige spørringer fra klienter kan få worker-prosessen til varnishd til å avbryte og restarte. Det cachede innholdet vil da gå tapt.
_logo.svg.png){kind=logo}
– En angriper kan derfor med hensikt krasje varnishd-worker-prosessen og effektivt forhindre den i å levere innhold – et tjenestenektangrep, heter det i rapporten.
Kamp har skrevet mer om sårbarheten her.
Les også: Har satt fart på weben i ti år
