Kjører du den internasjonalt utbredte Varnish Cache-programvaren, så bør du overveie å oppdatere til nyeste versjon. Det fremgår av en melding på åpen kildekode-prosjektets hjemmesider at det er påvist en DoS-sårbarhet (Denial of Service) i produktet.
Kort fortalt gjør sårbarheten at det er mulig å få en berørt Varnish-server til å restarte ved å sende spesielt utformede HTTP/1-forespørsler. I prinsippet er det mulig å gjøre webressursen som ligger bak cache-serveren utilgjengelig.
Version2-blogger Poul-Henning Kamp er utvikler på prosjektet, samt den opprinnelige hovedarkitekten bak Varnish.
På spørmål om det er enkelt eller vanskelig for en angriper å utnytte hullet svarer han følgende via epost:
– Altfor enkelt.
De berørte Varnish-utgavene er 6.1.0 og frem til (ikke inkludert) versjon 6.2.1. Sårbarheten er fikset i sistnevnte versjon.
For LTS-utgavene er det versjon 6.0 til og med 6.03, som er berørt. Feilen er rettet i 6.0.4 LTS.
Dersom det ikke er mulig å patche umiddelbart, så kan sårbarheten også håndteres via Varnish Configuration Language (VCL). Det ligger en oppskrift for dette her.
Poul-Henning Kamp anslår at rundt 20 prosent av verdens webtrafikk kjører gjennom Varnish på et eller annet tidspunkt.
Innlegg om sårbarheten
I et blogginnlegg på Version2 er det mer om saken. Bloggen inneholder et utdrag fra et innlegg fra Kamp på Varnish-prosjektets hjemmeside. Her bemerker han blant annet at Varnish foreløpig bare har vært rammet av to store sikkerhetshull – begge i DoS-kategorien.
En av disse kan du lese mer om her på digi.no: Har for første gang funnet et skikkelig sikkerhetshull i Varnish.
Hvorvidt det beskjedne antall alvorlige sårbarheter skyldes at det er lite av den slags å finne i Varnish-koden, eller at folk bare ikke har gransket kildekoden så meget, har Poul-Henning Kamp ikke umiddelbart noe svar på. Han påpeker at andre mer sårbare prosjekter får all oppmerksomheten fra «dusørjegerne». altså folk som jakter sikkerhetshull og får belønning i form av penger når hull kan påvises.
– Og fordi vi lever litt i det skjulte, nærmest midt i devops-land, så er det riktig mange som slett ikke aner at vi overhodet eksisterer. Eller hvor mye trafikk vi flytter, skriver han.
Under alle omstendigheter kunne han godt tenkte seg at Varnish-koden får oppmerksomhet fra sikkerhetsforskere.
– Definitivt, skriver Poul-Henning Kamp og legger til:
– Kompetent og kritisk oppmerksomhet er veien til bedre kode.
Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.