Varnish-hull åpner for tjenestenektangrep: – Altfor enkelt å utnytte

Det er påvist en sjelden sårbarhet i Varnish.
Det er påvist en sjelden sårbarhet i Varnish. (Illustrasjon: Varnish, Colourbox, montasje av digi.no)
  • Sikkerhet

Kjører du den internasjonalt utbredte Varnish Cache-programvaren, så bør du overveie å oppdatere til nyeste versjon. Det fremgår av en melding på åpen kildekode-prosjektets hjemmesider at det er påvist en DoS-sårbarhet (Denial of Service) i produktet.

Kort fortalt gjør sårbarheten at det er mulig å få en berørt Varnish-server til å restarte ved å sende spesielt utformede HTTP/1-forespørsler. I prinsippet er det mulig å gjøre webressursen som ligger bak cache-serveren utilgjengelig.

Version2-blogger Poul-Henning Kamp er utvikler på prosjektet, samt den opprinnelige hovedarkitekten bak Varnish.

Les også

På spørmål om det er enkelt eller vanskelig for en angriper å utnytte hullet svarer han følgende via epost:

– Altfor enkelt.

De berørte Varnish-utgavene er 6.1.0 og frem til (ikke inkludert) versjon 6.2.1. Sårbarheten er fikset i sistnevnte versjon.

For LTS-utgavene er det versjon 6.0 til og med 6.03, som er berørt. Feilen er rettet i 6.0.4 LTS.

Dersom det ikke er mulig å patche umiddelbart, så kan sårbarheten også håndteres via Varnish Configuration Language (VCL). Det ligger en oppskrift for dette her.

Poul-Henning Kamp anslår at rundt 20 prosent av verdens webtrafikk kjører gjennom Varnish på et eller annet tidspunkt.

Innlegg om sårbarheten

I et blogginnlegg på Version2 er det mer om saken. Bloggen inneholder et utdrag fra et innlegg fra Kamp på Varnish-prosjektets hjemmeside. Her bemerker han blant annet at Varnish foreløpig bare har vært rammet av to store sikkerhetshull – begge i DoS-kategorien.

En av disse kan du lese mer om her på digi.no: Har for første gang funnet et skikkelig sikkerhetshull i Varnish.

Hvorvidt det beskjedne antall alvorlige sårbarheter skyldes at det er lite av den slags å finne i Varnish-koden, eller at folk bare ikke har gransket kildekoden så meget, har Poul-Henning Kamp ikke umiddelbart noe svar på. Han påpeker at andre mer sårbare prosjekter får all oppmerksomheten fra «dusørjegerne». altså folk som jakter sikkerhetshull og får belønning i form av penger når hull kan påvises.

– Og fordi vi lever litt i det skjulte, nærmest midt i devops-land, så er det riktig mange som slett ikke aner at vi overhodet eksisterer. Eller hvor mye trafikk vi flytter, skriver han.

Under alle omstendigheter kunne han godt tenkte seg at Varnish-koden får oppmerksomhet fra sikkerhetsforskere.

Les også

– Definitivt, skriver Poul-Henning Kamp og legger til:

– Kompetent og kritisk oppmerksomhet er veien til bedre kode.

Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.

Kommentarer (0)

Kommentarer (0)
Til toppen