For første gang har det blitt funnet en sårbarhet i Varnish. (Bilde: Varnish Cache. Montasje: digi.no)

Varnish HTTP Cache

Har for første gang funnet et skikkelig sikkerhetshull i Varnish

Programvaren brukes av nettsteder over hele verden.

Den åpen kildekode-baserte Varnish Cache-programvaren, som i sin tid ble utviklet på oppdrag fra VG Nett, benyttes av svært mange nettsteder verden over til å gjøre leveringen av webinnhold mer effektiv. 

Men nå bør samtlige nettsteder oppdatere programvaren. For første gang siden Varnish ble levert, har det blitt funnet en sårbarhet i programvaren. Det skriver Poul-Henning Kamp i et kort blogginnlegg hos danske Version2. Det er Kamp som opprinnelig lagde Varnish og som har vært hovedutvikler i de elleve årene som har gått siden lanseringen. 

I den første sikkerhetsrapporten fra Varnish-prosjektet noensinne, opplyses det at en feil i en if-test i kildekoden til varnishd gjør at visse feilaktige spørringer fra klienter kan få worker-prosessen til varnishd til å avbryte og restarte. Det cachede innholdet vil da gå tapt. 

– En angriper kan derfor med hensikt krasje varnishd-worker-prosessen og effektivt forhindre den i å levere innhold – et tjenestenektangrep, heter det i rapporten.

Kamp har skrevet mer om sårbarheten her.

Les også: Har satt fart på weben i ti år

Kommentarer (7)

Kommentarer (7)
Til toppen