The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость в Apache открывает двери к внутренним ресурсам на..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от opennews (ok) on 06-Окт-11, 11:00 
В http-сервере Apache обнаружена (http://www.contextis.com/research/blog/reverseproxybypass/) заслуживающая внимания уязвимость, проявляющаяся при работе в режиме обратного прокси.  При наличии определенных rewrite-правил в конфигурации сервера, уявзимость позволяет отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ) за границей межсетевого экрана. Проблеме подвержены все версии Apache 1.3.x и Apache 2.x. Разработчики Apache уже выпустили уведомление (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) о наличии уязвимости и патч (http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/) для устранения проблемы в Apache 2.2.21.
<center><img src="http://www.opennet.ru/opennews/pics_base/31960_1317882374.png " style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>


Проблема проявляется только в Apache, настроенном для работы в режиме обратного прок...

URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...
Новость: http://www.opennet.ru/opennews/art.shtml?num=31960

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +2 +/
Сообщение от Аноним (??) on 06-Окт-11, 11:05 
Кто-то использует апач как reverse прокси?! О_о
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от koloboid (ok) on 06-Окт-11, 11:07 
да, бывает.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  –5 +/
Сообщение от фклфт (ok) on 06-Окт-11, 14:51 
> да, бывает.

ха ха ха, бывает
я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от Аноним (??) on 06-Окт-11, 16:15 
и чего не зафайлил баг?
заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, что порядочные)
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от фклфт (ok) on 07-Окт-11, 07:43 
> и чего не зафайлил баг?
> заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт,
> что порядочные)

Да я даже и не предполагал что такое возможно
ну заметил в логах фаера что идут посторонние запросы с внутренних хост машин на другие компы/сервера
Ктож знал что это не баг такой а фттча от АНБ и ЦРУ

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от koloboid (ok) on 06-Окт-11, 20:46 
>я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч

ну самому-то патч или баг запилить - серого вещества не достаточно, видимо. только на "ха ха ха" и хватает...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

5. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от XoRe (ok) on 06-Окт-11, 11:18 
> Кто-то использует апач как reverse прокси?! О_о

Apache + серверная java - сплошь и рядом.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от koloboid (ok) on 06-Окт-11, 11:06 
блин. ждем в debian stable.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +6 +/
Сообщение от klalafuda on 06-Окт-11, 11:20 
А что, кто-то использует апач а не nginx как реверс? Ну тогда мы идем к вам :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от Аноним (??) on 06-Окт-11, 11:36 
Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор). И апач, и memcache, и Calipso - тысячи их.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

30. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от Аноним (??) on 06-Окт-11, 22:43 
> Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор).
> И апач, и memcache, и Calipso - тысячи их.

Из апача конечно такой акселератор...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от 66 on 06-Окт-11, 11:59 
А умеет ли nginx ajp?
а умеет ли nginx проксировать на https?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  –1 +/
Сообщение от klalafuda on 06-Окт-11, 12:40 
> а умеет ли nginx проксировать на https?

Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве бакенда HTTPS?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от 66 on 06-Окт-11, 13:12 
>> а умеет ли nginx проксировать на https?
> Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве
> бакенда HTTPS?

Похоже я наврал вам, эта инфа устарела.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +3 +/
Сообщение от prokoudine email(??) on 06-Окт-11, 11:43 
День открытых дверей в Apache? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +2 +/
Сообщение от terr0rist (ok) on 06-Окт-11, 13:12 
А не проблема ли это криворуких одминов? Думая башкой, не написал бы
RewriteRule ^(.*) http://internalserver$1 [P]
а написал бы
RewriteBase /
RewriteRule ^(.*) http://internalserver/$1 [P]
и не будет никаких проблем!
А то... Если одмин забыл пароль рута поставить или закрыть ssh доступ руту, это тоже ssh виноват?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от terr0rist (ok) on 06-Окт-11, 13:20 
Пардон, просмотрел, в конце статьи это упомянуто.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от 66 on 06-Окт-11, 13:22 
> А не проблема ли это криворуких одминов? Думая башкой, не написал бы
> RewriteRule ^(.*) http://internalserver$1
> а написал бы
> RewriteBase /
> RewriteRule ^(.*) http://internalserver/$1
> и не будет никаких проблем!

Подтверждаю. Всё было изначально нормально настроено и проблема не каснулась

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от Аноним (??) on 06-Окт-11, 14:45 
Дело даже не в кривых rewrite-правилах, а в том простом факте, что сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами. Это же основы построения DMZ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от AlexAT (ok) on 06-Окт-11, 14:46 
> Дело даже не в кривых rewrite-правилах, а в том простом факте, что
> сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами.
> Это же основы построения DMZ.

Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от Аноним (??) on 06-Окт-11, 14:51 
>Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?

Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем его разрешать?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от AlexAT (ok) on 06-Окт-11, 15:16 
> Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем
> его разрешать?

Под DMZ в данном случае подразумеваются серверы, находящиеся в одной подсети с внутренними хост-серверами. Чаще всего файрвола между ними и балансировщиками нет, поскольку это лишняя точка отказа.

Но вот насчет запрещать доступ со стороны балансировщика к серверам хотя бы на самих серверах - согласен, это делать нужно обязательно.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +2 +/
Сообщение от Аноним (??) on 06-Окт-11, 18:22 
Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
Попробуйте вслух прочитать!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +1 +/
Сообщение от Аноним (??) on 06-Окт-11, 21:55 
... на другой стороне Луны  :)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от Аноним (??) on 06-Окт-11, 22:44 
> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
> Попробуйте вслух прочитать!

Ну, разобраться что к чему - можно. А что еще надо то?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от Xasd (ok) on 07-Окт-11, 14:37 
> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
> Попробуйте вслух прочитать!

+1 .. репортёры канала РЭН-ТВ молча завидуюут :-D

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."  +/
Сообщение от Xasd (ok) on 07-Окт-11, 00:30 
> Проблема может быть решена при помощи патча, который запрещает передачу URI, начинающегося с символа "@" ("@other.example.com/something.png"), так как такой запрос не соответствует спецификации HTTP

пусть разрешать использовть чтобы первый знак был ТОЛЬКО "/"... или "http://" "https://"!

без всяких там ("@" первым нельзя, а остальное можно)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру