Autorzy | Polityka legalności | Reklama | Kontakt
centrum.bezpieczenstwa.pl  
Start Bezpieczeństwo informacji Zarządzanie IT Bezpieczeństwo teleinformatyczne Ciągłość działania
Start arrow Aktualności arrow Błędy w Apache httpd
Błędy w Apache httpd

Zespół bezpieczeństwa PCSS poinformował o znalezieniu kilku podatności serwera Apache httpd (ver.1.3.x, 2.x), umożliwiających przeprowadzenie ataku typu DoS na usługi i system, na którym uruchomiona jest aplikacja.

Informacje o znalezionych błędach:


Vuln #1 - Httpd Server Dos

Środowisko testowe: ver 2.0.59, 2.2.4, prefork mpm module

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia zabicie wszystkich worker processów z jednoczesna blokada tworzenia nowych procesów przez master proces. W następstwie tego działania serwer przestaje przyjmować i obsługiwać nowe połączenia.


Vuln #2 - SIGUSR1 killer

Środowisko testowe: ver 2.0.59, 2.2.4 preform mpm module

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia wysyłanie sygnałów SIGUSR1 przez master proces (proces działający z uprawnieniami root’a) do dowolnego procesu w systemie.


Vuln #3 - SIGUSR1 killer

Środowisko testowe: ver 1.3.37

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia wysyłanie sygnałów SIGUSR1 przez master proces (proces działający z uprawnieniami root’a) do dowolnego procesu w systemie.


Vuln #4 - System Dos

Środowisko testowe: ver 2.0.59, 2.2.4 prefork mpm module

Odpowiedni kod uruchomiony w kontekście worker process, umożliwia wymuszenie na master procesie utworzenie nieskończonej ilości nowych worker procesów. W następstwie tego działania możliwe jest zablokowanie pracy całego systemu.


W celu zabezpieczenia się przed zagrożeniami należy uniemożliwić uruchomienie własnego kodu użytkownika w kontekście worker process. Należy zwrócić również szczególną uwagę na języki programowania skonfigurowane jako moduł apache’a (np. mod_php, mod_perl etc) oraz zablokować niebezpieczne funkcje np. dl(), dlopen().

Jak informują członkowie zespołu PCSS informacja o wyżej wymienionych błędach została przekazana fundacji Apache Software Fundation 16 maja 2006 roku. Przez przeszło 1 rok nie został wydany oficjalny patch na odnalezione błędy. Zespół bezpieczeństwa jest w trakcie opracowywania własnych nieoficjalnych patchy. Nasze nieoficjalne patche zostaną opublikowane 18.06.2007 na stronie zespołu. W dniu 20.06.2007 zostaną opublikowane szczegółowe informacje na temat odnalezionych błędów.

Strona zespołu PCSS

 
Nowości
Top 5
Autorzy serwisu
  Krzysztof Maćkowiak

 Krzysztof  Maćkowiak

 Dariusz Rutkowski   Dariusz Rutkowski
  
Polecamy wywiad
 Joanna Rutkowska

 Joanna   Rutkowska 

 Specjalistka ds. bezpieczeństwa systemów operacyjnych

  
Lektury obowiązkowe
 Spam. Profilaktyka i obrona  Anti-Spam Tool Kit. Edycja polska
Partnerzy Centrum
 Locos