В http-сервере Apache обнаружена (http://www.contextis.com/research/blog/reverseproxybypass/) заслуживающая внимания уязвимость, проявляющаяся при работе в режиме обратного прокси.  При наличии определенных rewrite-правил в конфигурации сервера, уявзимость позволяет отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ) за границей межсетевого экрана. Проблеме подвержены все версии Apache 1.3.x и Apache 2.x. Разработчики Apache уже выпустили уведомление (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) о наличии уязвимости и патч (http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/) для устранения проблемы в Apache 2.2.21.
<center><img src="http://www.opennet.me/opennews/pics_base/31960_1317882374.png " style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>

Проблема проявляется только в Apache, настроенном для работы в режиме обратного прок...

URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...
Новость: http://www.opennet.me/opennews/art.shtml?num=31960

• Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 11:05 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,koloboid, 11:07 , 06-Окт-11
    • Уязвимость в Apache открывает двери к внутренним ресурсам на...,фклфт, 14:51 , 06-Окт-11
      • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 16:15 , 06-Окт-11
        • Уязвимость в Apache открывает двери к внутренним ресурсам на...,фклфт, 07:43 , 07-Окт-11
      • Уязвимость в Apache открывает двери к внутренним ресурсам на...,koloboid, 20:46 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,XoRe, 11:18 , 06-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,koloboid, 11:06 , 06-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,klalafuda, 11:20 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 11:36 , 06-Окт-11
    • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 22:43 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,66, 11:59 , 06-Окт-11
    • Уязвимость в Apache открывает двери к внутренним ресурсам на...,klalafuda, 12:40 , 06-Окт-11
      • Уязвимость в Apache открывает двери к внутренним ресурсам на...,66, 13:12 , 06-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,prokoudine, 11:43 , 06-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,terr0rist, 13:12 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,terr0rist, 13:20 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,66, 13:22 , 06-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 14:45 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,AlexAT, 14:46 , 06-Окт-11
    • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 14:51 , 06-Окт-11
      • Уязвимость в Apache открывает двери к внутренним ресурсам на...,AlexAT, 15:16 , 06-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 18:22 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 21:55 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Аноним, 22:44 , 06-Окт-11
  • Уязвимость в Apache открывает двери к внутренним ресурсам на...,Xasd, 14:37 , 07-Окт-11
• Уязвимость в Apache открывает двери к внутренним ресурсам на...,Xasd, 00:30 , 07-Окт-11

Кто-то использует апач как reverse прокси?! О_о

да, бывает.

> да, бывает.

ха ха ха, бывает
я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч

и чего не зафайлил баг?
заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, что порядочные)

> и чего не зафайлил баг?
> заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт,
> что порядочные)

Да я даже и не предполагал что такое возможно
ну заметил в логах фаера что идут посторонние запросы с внутренних хост машин на другие компы/сервера
Ктож знал что это не баг такой а фттча от АНБ и ЦРУ

>я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч

ну самому-то патч или баг запилить - серого вещества не достаточно, видимо. только на "ха ха ха" и хватает...

> Кто-то использует апач как reverse прокси?! О_о

Apache + серверная java - сплошь и рядом.

блин. ждем в debian stable.

А что, кто-то использует апач а не nginx как реверс? Ну тогда мы идем к вам :)

Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор). И апач, и memcache, и Calipso - тысячи их.

> Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор).
> И апач, и memcache, и Calipso - тысячи их.

Из апача конечно такой акселератор...

А умеет ли nginx ajp?
а умеет ли nginx проксировать на https?

> а умеет ли nginx проксировать на https?

Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве бакенда HTTPS?

>> а умеет ли nginx проксировать на https?
> Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве
> бакенда HTTPS?

Похоже я наврал вам, эта инфа устарела.

День открытых дверей в Apache? :)

А не проблема ли это криворуких одминов? Думая башкой, не написал бы
RewriteRule ^(.*) http://internalserver$1 [P]
а написал бы
RewriteBase /
RewriteRule ^(.*) http://internalserver/$1 [P]
и не будет никаких проблем!
А то... Если одмин забыл пароль рута поставить или закрыть ssh доступ руту, это тоже ssh виноват?

Пардон, просмотрел, в конце статьи это упомянуто.

> А не проблема ли это криворуких одминов? Думая башкой, не написал бы
> RewriteRule ^(.*) http://internalserver$1
> а написал бы
> RewriteBase /
> RewriteRule ^(.*) http://internalserver/$1
> и не будет никаких проблем!

Подтверждаю. Всё было изначально нормально настроено и проблема не каснулась

Дело даже не в кривых rewrite-правилах, а в том простом факте, что сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами. Это же основы построения DMZ.

> Дело даже не в кривых rewrite-правилах, а в том простом факте, что
> сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами.
> Это же основы построения DMZ.

Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?

>Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?

Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем его разрешать?

> Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем
> его разрешать?

Под DMZ в данном случае подразумеваются серверы, находящиеся в одной подсети с внутренними хост-серверами. Чаще всего файрвола между ними и балансировщиками нет, поскольку это лишняя точка отказа.

Но вот насчет запрещать доступ со стороны балансировщика к серверам хотя бы на самих серверах - согласен, это делать нужно обязательно.

Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
Попробуйте вслух прочитать!

... на другой стороне Луны  :)

> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
> Попробуйте вслух прочитать!

Ну, разобраться что к чему - можно. А что еще надо то?

> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
> Попробуйте вслух прочитать!

+1 .. репортёры канала РЭН-ТВ молча завидуюут :-D

> Проблема может быть решена при помощи патча, который запрещает передачу URI, начинающегося с символа "@" ("@other.example.com/something.png"), так как такой запрос не соответствует спецификации HTTP

пусть разрешать использовть чтобы первый знак был ТОЛЬКО "/"... или "http://" "https://"!

без всяких там ("@" первым нельзя, а остальное можно)