форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
Сообщение от opennews (ok) on 06-Окт-11, 11:00
В http-сервере Apache обнаружена (http://www.contextis.com/research/blog/reverseproxybypass/) заслуживающая внимания уязвимость, проявляющаяся при работе в режиме обратного прокси.  При наличии определенных rewrite-правил в конфигурации сервера, уявзимость позволяет отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ) за границей межсетевого экрана. Проблеме подвержены все версии Apache 1.3.x и Apache 2.x. Разработчики Apache уже выпустили уведомление (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) о наличии уязвимости и патч (http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/) для устранения проблемы в Apache 2.2.21. <center><img src="http://www.opennet.me/opennews/pics_base/31960_1317882374.png " style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center> Проблема проявляется только в Apache, настроенном для работы в режиме обратного прок... URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011... Новость: http://www.opennet.me/opennews/art.shtml?num=31960
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+2 +/–
Сообщение от Аноним (??) on 06-Окт-11, 11:05
Кто-то использует апач как reverse прокси?! О_о
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от koloboid (ok) on 06-Окт-11, 11:07
	да, бывает.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	21. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	–5 +/–
	Сообщение от фклфт (ok) on 06-Окт-11, 14:51
	> да, бывает. ха ха ха, бывает я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	25. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от Аноним (??) on 06-Окт-11, 16:15
	и чего не зафайлил баг? заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, что порядочные)
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	33. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от фклфт (ok) on 07-Окт-11, 07:43
	> и чего не зафайлил баг? > заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, > что порядочные) Да я даже и не предполагал что такое возможно ну заметил в логах фаера что идут посторонние запросы с внутренних хост машин на другие компы/сервера Ктож знал что это не баг такой а фттча от АНБ и ЦРУ
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	28. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от koloboid (ok) on 06-Окт-11, 20:46
	>я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч ну самому-то патч или баг запилить - серого вещества не достаточно, видимо. только на "ха ха ха" и хватает...
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	5. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от XoRe (ok) on 06-Окт-11, 11:18
	> Кто-то использует апач как reverse прокси?! О_о Apache + серверная java - сплошь и рядом.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
Сообщение от koloboid (ok) on 06-Окт-11, 11:06
блин. ждем в debian stable.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+6 +/–
Сообщение от klalafuda on 06-Окт-11, 11:20
А что, кто-то использует апач а не nginx как реверс? Ну тогда мы идем к вам :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от Аноним (??) on 06-Окт-11, 11:36
	Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор). И апач, и memcache, и Calipso - тысячи их.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	30. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от Аноним (??) on 06-Окт-11, 22:43
	> Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор). > И апач, и memcache, и Calipso - тысячи их. Из апача конечно такой акселератор...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от 66 on 06-Окт-11, 11:59
	А умеет ли nginx ajp? а умеет ли nginx проксировать на https?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	11. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	–1 +/–
	Сообщение от klalafuda on 06-Окт-11, 12:40
	> а умеет ли nginx проксировать на https? Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве бакенда HTTPS?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от 66 on 06-Окт-11, 13:12
	>> а умеет ли nginx проксировать на https? > Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве > бакенда HTTPS? Похоже я наврал вам, эта инфа устарела.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+3 +/–
Сообщение от prokoudine (??) on 06-Окт-11, 11:43
День открытых дверей в Apache? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+2 +/–
Сообщение от terr0rist (ok) on 06-Окт-11, 13:12
А не проблема ли это криворуких одминов? Думая башкой, не написал бы RewriteRule ^(.*) http://internalserver$1 [P] а написал бы RewriteBase / RewriteRule ^(.*) http://internalserver/$1 [P] и не будет никаких проблем! А то... Если одмин забыл пароль рута поставить или закрыть ssh доступ руту, это тоже ssh виноват?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от terr0rist (ok) on 06-Окт-11, 13:20
	Пардон, просмотрел, в конце статьи это упомянуто.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от 66 on 06-Окт-11, 13:22
	> А не проблема ли это криворуких одминов? Думая башкой, не написал бы > RewriteRule ^(.*) http://internalserver$1 > а написал бы > RewriteBase / > RewriteRule ^(.*) http://internalserver/$1 > и не будет никаких проблем! Подтверждаю. Всё было изначально нормально настроено и проблема не каснулась
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
Сообщение от Аноним (??) on 06-Окт-11, 14:45
Дело даже не в кривых rewrite-правилах, а в том простом факте, что сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами. Это же основы построения DMZ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от AlexAT (ok) on 06-Окт-11, 14:46
	> Дело даже не в кривых rewrite-правилах, а в том простом факте, что > сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами. > Это же основы построения DMZ. Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от Аноним (??) on 06-Окт-11, 14:51
	>Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ? Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем его разрешать?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	23. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от AlexAT (ok) on 06-Окт-11, 15:16
	> Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем > его разрешать? Под DMZ в данном случае подразумеваются серверы, находящиеся в одной подсети с внутренними хост-серверами. Чаще всего файрвола между ними и балансировщиками нет, поскольку это лишняя точка отказа. Но вот насчет запрещать доступ со стороны балансировщика к серверам хотя бы на самих серверах - согласен, это делать нужно обязательно.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+2 +/–
Сообщение от Аноним (??) on 06-Окт-11, 18:22
Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал! Попробуйте вслух прочитать!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+1 +/–
	Сообщение от Аноним (??) on 06-Окт-11, 21:55
	... на другой стороне Луны  :)
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	31. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от Аноним (??) on 06-Окт-11, 22:44
	> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал! > Попробуйте вслух прочитать! Ну, разобраться что к чему - можно. А что еще надо то?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	34. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
	Сообщение от Xasd (ok) on 07-Окт-11, 14:37
	> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал! > Попробуйте вслух прочитать! +1 .. репортёры канала РЭН-ТВ молча завидуюут :-D
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Уязвимость в Apache открывает двери к внутренним ресурсам на..."	+/–
Сообщение от Xasd (ok) on 07-Окт-11, 00:30
> Проблема может быть решена при помощи патча, который запрещает передачу URI, начинающегося с символа "@" ("@other.example.com/something.png"), так как такой запрос не соответствует спецификации HTTP пусть разрешать использовть чтобы первый знак был ТОЛЬКО "/"... или "http://" "https://"! без всяких там ("@" первым нельзя, а остальное можно)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема