Abonner
SIKKERHET

Varnish-hull åpner for tjenestenektangrep: – Altfor enkelt å utnytte

Det er påvist en sjelden sårbarhet i Varnish.
Det er påvist en sjelden sårbarhet i Varnish. Illustrasjon: Varnish, Colourbox, montasje av digi.no
Del
Kommenter
Jakob Møllerhøj, Version2.dk
4. sep. 2019 - 10:44

Kjører du den internasjonalt utbredte Varnish Cache-programvaren, så bør du overveie å oppdatere til nyeste versjon. Det fremgår av en melding på åpen kildekode-prosjektets hjemmesider at det er påvist en DoS-sårbarhet (Denial of Service) i produktet.

Kort fortalt gjør sårbarheten at det er mulig å få en berørt Varnish-server til å restarte ved å sende spesielt utformede HTTP/1-forespørsler. I prinsippet er det mulig å gjøre webressursen som ligger bak cache-serveren utilgjengelig.

Version2-blogger Poul-Henning Kamp er utvikler på prosjektet, samt den opprinnelige hovedarkitekten bak Varnish.

Inspirert av Tesla: Per Buer er grunnlegger og teknologidirektør i Varnish Software. (Arkivfoto).
Les også

Tesla ga norske Varnish ideen til et nytt globalt produkt

På spørmål om det er enkelt eller vanskelig for en angriper å utnytte hullet svarer han følgende via epost:

– Altfor enkelt.

De berørte Varnish-utgavene er 6.1.0 og frem til (ikke inkludert) versjon 6.2.1. Sårbarheten er fikset i sistnevnte versjon.

For LTS-utgavene er det versjon 6.0 til og med 6.03, som er berørt. Feilen er rettet i 6.0.4 LTS.

Dersom det ikke er mulig å patche umiddelbart, så kan sårbarheten også håndteres via Varnish Configuration Language (VCL). Det ligger en oppskrift for dette her.

Poul-Henning Kamp anslår at rundt 20 prosent av verdens webtrafikk kjører gjennom Varnish på et eller annet tidspunkt.

Innlegg om sårbarheten

I et blogginnlegg på Version2 er det mer om saken. Bloggen inneholder et utdrag fra et innlegg fra Kamp på Varnish-prosjektets hjemmeside. Her bemerker han blant annet at Varnish foreløpig bare har vært rammet av to store sikkerhetshull – begge i DoS-kategorien.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Dødtid koster tid og penger. Slik gjør du videomøtene effektive

En av disse kan du lese mer om her på digi.no: Har for første gang funnet et skikkelig sikkerhetshull i Varnish.

Hvorvidt det beskjedne antall alvorlige sårbarheter skyldes at det er lite av den slags å finne i Varnish-koden, eller at folk bare ikke har gransket kildekoden så meget, har Poul-Henning Kamp ikke umiddelbart noe svar på. Han påpeker at andre mer sårbare prosjekter får all oppmerksomheten fra «dusørjegerne». altså folk som jakter sikkerhetshull og får belønning i form av penger når hull kan påvises.

– Og fordi vi lever litt i det skjulte, nærmest midt i devops-land, så er det riktig mange som slett ikke aner at vi overhodet eksisterer. Eller hvor mye trafikk vi flytter, skriver han.

Under alle omstendigheter kunne han godt tenkte seg at Varnish-koden får oppmerksomhet fra sikkerhetsforskere.

Keyboard with Blue Keypad - VPN. Modern Keyboard Button Labeled VPN. VPN Concept: Computer Keyboard with VPN, Selected Focus on Blue Enter Key. VPN Written on Blue Button of Modern Keyboard. 3D.
Les også

Alvorlige sårbarheter funnet i store VPN-tjenester – allerede under angrep av hackere

– Definitivt, skriver Poul-Henning Kamp og legger til:

– Kompetent og kritisk oppmerksomhet er veien til bedre kode.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.

Les mer om:
DDOSSÅRBARHETERSIKKERHETVARNISH
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra