Уязвимости в Apache httpd и Apache Tomcat

19.09.2017 23:43

В http-сервере Apache выявлена уязвимость (CVE-2017-9798), которая опубликована под кодовым именем Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга.

Для тестирования подверженности своих систем проблеме подготовлен прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запроса OPTIONS отдаётся содержимое уже освобождённого блока памяти, в котором могут находиться конфиденциальные данные от выполнения прошлых запросов.

Несмотря на специфичные условия проявления проблемы сканирование миллиона крупнейших сайтов по рейтингу Alexa выявило 466 проблемных хостов, в которых при имеющихся настройках происходит утечка данных. При этом, по заявлению разработчиков Apache, риск от данной уязвимости незначителен, так как можно получить лишь значение нескольких лишних байтов памяти. Исправление пока доступно в виде патча (для ветки 2.2, для ветки 2.4).

Дополнительно можно отметить выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет загрузить на сервер JSP-файл через специально оформленный запрос HTTP PUT и затем выполнить его с правами серверного процесса. Проблема проявляется только на платформе Windows при включении метода HTTP PUT. Также сообщается об ещё одной уязвимости (CVE-2017-12616), которая может привести к просмотру кода размещённых на сервере JSP-файлов, если данные файлы упоминаются в настройках директивы VirtualDirContext. Проблемы устранены в выпуске Apache Tomcat 7.0.81.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/47234-apache

Ключевые слова: apache, tomcat, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Sluggard (ok), 02:33, 20/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Что происходит с продуктами Apache в последнее время? Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?

2.2, О_о (?), 09:03, 20/09/2017 [^] [^^] [^^^] [ответить]

+2 +/–

На самом деле Ынтырпрайз по большей части на джаве, а где джава -- там и томкат, а с Ынтырпрайза можно попытаться поиметь профит используя вымогатели и уязвимости...

Кроме того вэб-сервер апача вроде как тоже один из самых распространённых.

А кому интересно ломать то, что никем не используется? ;)

2.3, Аноним (-), 09:21, 20/09/2017 [^] [^^] [^^^] [ответить]	+2 +/–
думаю, это последствия атаки на apache struts. может стат.анализаторы завезли, или еще что

2.6, пох (?), 09:41, 20/09/2017 [^] [^^] [^^^] [ответить]

–4 +/–

да ничего с ними не происходит - к миллиону известных дыр прибавилась еще парочка.
образцом хорошего кода они никогда и не были.

Вряд ли наняли - скорее, студиозусы заинтересовались и быстренько расковыряли что сверху лежало.

2.13, Аноним (-), 13:25, 20/09/2017 [^] [^^] [^^^] [ответить]	+/–
> Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр? Нет, просто существующие спецы начали работать.

1.4, Аноним (-), 09:22, 20/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Надоели уже с собственными именами для дыр...

2.5, A.Stahl (ok), 09:39, 20/09/2017 [^] [^^] [^^^] [ответить]	+3 +/–
То ли дело легкозапоминающееся и благозвучное CVE-2017-9798... Или ты просто поныть, а более внятного повода не нашёл?

3.18, Аноним (-), 18:33, 20/09/2017 [^] [^^] [^^^] [ответить]	+1 +/–
но ведь давать имя каждой ошибке и правда бред

4.19, XoRe (ok), 18:43, 20/09/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> но ведь давать имя каждой ошибке и правда бред Дают не каждой, а только самым серьёзным (по возможным последствиям).

5.20, Аноним (-), 20:41, 20/09/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Это, по-твоему, серьёзно? Затронуто 0,04% установок, опасность есть только для шаредов, и вообще непонятно, что можно из этих жалких нескольких байтов извлечь.

1.7, Аноним (-), 11:20, 20/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket Ява неуязвима!

2.9, A.Stahl (ok), 12:36, 20/09/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Режим трололо (мощность 3.5 трл): Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."), который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.

3.16, пох (?), 15:05, 20/09/2017 [^] [^^] [^^^] [ответить]

–1 +/–

> Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."),
> который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.

томкэт написан сановским инженером, думаю, вполне нехило оплачивавшимся в те-то благословенные годы. Сопровождается апачом, то есть, забесплатно вот вообще.

1.8, Аноним (-), 11:47, 20/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А кто на винде контейнер сервлетов запускает в продакшене?

2.10, щи (?), 12:39, 20/09/2017 [^] [^^] [^^^] [ответить]	+3 +/–
Если у вас нон-прод на винде, как у вас прод может быть не на винде? А нон-прод на винде получается очень просто: "а нам только попробовать", "а вот же сервер, поставьте сюда, покупать не нужно"

3.11, Аноним (-), 12:59, 20/09/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Легко, разработчик предпочитает винду, сервер - Linux.

4.12, Аноним (-), 13:10, 20/09/2017 [^] [^^] [^^^] [ответить]	+/–
А вы наверное хотите чтобы было наоборот: сервер предпочитает винду, разработчик - Linux.

5.17, Аноним (-), 15:07, 20/09/2017 [^] [^^] [^^^] [ответить]	+/–
Нет, вопрос был: "А кто на винде контейнер сервлетов запускает в продакшене?"

6.21, Аноним (-), 23:48, 08/10/2017 [^] [^^] [^^^] [ответить]	+/–
Конечно, лучше докер на продакшене запустить.

1.14, pripolz (?), 14:15, 20/09/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Проблема проявляется только на платформе Windows гораздо смачнее, когда уязвимости становятся кроссплатформенными, как в случае с Апач-Струтса на Кисках.

2.15, пох (?), 14:59, 20/09/2017 [^] [^^] [^^^] [ответить]

–1 +/–

> как в случае с Апач-Струтса на Кисках

вы не владеете темой.
циска - это не только маршрутизаторы с мипсой внутри, это еще и просто коммерческий софт (и много чего еще). Весь струтс - он в софте, софт работает под обычным редхатом (или "почти-редхатом" - чтоб денег никому не платить) на обычном писюковом сервере, ничего "кроссплатформенного".

игнорирование участников | лог модерирования

Добавить комментарий

Текст: