Apache Software Foundation (ASF ) đang hối
thúc mọi cơ quan , người dùng đang cài đặt các chương trình Apache
HTTP server , các version tử version trước 2.0 đến 2.0.44 khẩn cấp upgrade các chương trình này lên Apache 2.0.45 .
Lý do là mới đây công ty iDefense , môt công ty bảo
mật nổi tiếng trên Thế giới ,vứa phát hiện 1 lỗ hổng bảo mật mới trong các versions nói trên . Lỗ hổng bảo mật " nghiêm trọng"
mới này tạo điều kiện rất dễ dàng cho các hacker knock-out các
server ,Web servers... bằng phương thức Denial of service (DoS
).
Công ty iDefense đã công bố yêu cầu "khẩn thiết " trên
các phương tiên thông tin đại chúng .
Tuy nhiên Công ty
iDefense cho biết họ chỉ có thể công bố chi tiết về vulnerability
mới này vào ngày 8 tháng 4 năm 2003 ( 3 ngày sau bài viết này
). Để tránh trường hơp các Hacker tranh thủ thời gian sau khi công
bố chi tiết vulnarebility nhưng các user chưa kịp upgrade c/t Apache
, tấn công DoS vào các servers Web servers ........., nên iDefense
khuyến cáo việc upgrade Apache thực hiện càng sớm càng
tốt.
Cần phân biệt rõ vulnerability cũ của các version
Apache nói trên ,đã đươc phát hiện vào tháng 6 năm 2002 , với vulnarebility rất mới này . Vulnerability cũ (năm 2002 ) là Apache Chunked-Encoding Corruption Vulnerability- Bug 5033,
giúp cho các Hacker thâm nhập server từ xa (remotly exploit ). Về
vulnerability cũ này tôi cũng đã đề cập nhiều lần trong các bài viết
của mình ở HVA forum . Chi tiết của vulnerability xem trong
www.securityfocus.com/bid/5033.
Version mới nhất của Apache
( 2.0 .45 ) sẽ loại trừ các điểm yếu ,kẽ hở của rất nhiều
file trong c/t kể cả CGI scripts , các file CGI này tạo nên các lỗ
hổng trên các server cài untrusted CGI scripts . Nhưng đối với riêng
các servers sử dụng OS2 thì version 2.0.45 vẫn chưa đủ vì vẫn
còn tồn tại điểm yếu cho viêc hackers tiến hành tấn công theo DoS ,
vì vậy ASF hứa sẽ có ngay một FIX bổ sung , trong khi chờ đợi
version 2.0.46 sẽ được đưa ra ( 2.0.46 sẽ áp dung cho mọi OS
).
Chúng ta sẽ chờ đợi vào ngày 8/4/03 ASF vá iDefense sẽ
công bố chi tiết về vulnerability rất mới này để biết nó cụ thể ra
sao . Tuy nhiên viêc upgrade Apache lên version 2.0.45 theo tôi là
cần thiết ,trước khi có thể đã muộn . Download version 2.0.45 ở http://httpd.apache.org/download.cgi .
Như chúng ta đã
biết Apache HTTP server là môt chương trình quản lý Web ,mã nguồn mở
, áp dụng rất phổ biến hiện nay. Thống kê mới nhất của Netcraft cho biết Apache HTTP server đươc sử dụng trong 24,5 triệu
site trên TG , trong đó có site của
HVA ,FPT , VDC ...., chiếm tỷ lê 63% trong toàn bộ các Web , cao hơn
cả các c/t của Microsoft .
Cũng cần nói thêm rằng ASF cũng là
tác giả của c/t IIS . Chương trình này cũng vừa được phát
hiên 1 lộ hổng bảo mật . Chỉ tiếc là các server cài đăt IIS ( trong
đó có server của quân đội Mỹ ) đã bị tấn công rồi thì lỗ hổng mới được phát hiện
.
Vậy thì sẽ có bao nhiêu trang Web trên TG sẽ bị
knock-out từ lỗi bão mật mới trong Apache nói trên ,nếu các Admin ở
các trang Web này chưa kip upgrade Apache ???
The Apache Software Foundation's HTTP Server
Project is an effort to develop and maintain an open-source web
server for modern operating systems including Unix and Microsoft
Corp.'s Windows. More information is available at http://httpd.apache.org/ .
II.
DESCRIPTION
Remote exploitation of a memory leak in the
Apache HTTP Server causes the daemon to over utilize system
resources on an affected system. The problem is HTTP Server's
handling of large chunks of consecutive linefeed characters. The
web server allocates an eighty-byte buffer for each linefeed
character without specifying an upper limit for
allocation. Consequently, an attacker can remotely exhaust system
resources by generating many requests containing these
characters.
III. ANALYSIS
While this type of attack is
most effective in an intranet setting, remote exploitation over
the Internet, while bandwidth intensive, is feasible. Remote
exploitation could consume system resources on a targeted
system and, in turn, render the Apache HTTP daemon unavailable.
iDEFENSE has performed research using proof of concept exploit
code to demonstrate the impact of this vulnerability. A
successful exploitation scenario requires between two and seven
megabytes of traffic exchange.
IV. DETECTION
Both the
Windows and Unix implementations of Apache HTTP Server 2.0.44
are vulnerable; all 2.x versions up to and including 2.0.44 are
most likely vulnerable as well.
V. VENDOR
FIX/RESPONSE
Apache HTTP Server 2.0.45, which fixes this
vulnerability, can be downloaded at http://httpd.apache.org/download.cgi . This
release introduces a limit of 100 blank lines accepted before an
HTTP connection is discarded.
VI. CVE
INFORMATION
The Mitre Corp.'s Common Vulnerabilities and
Exposures (CVE) Project has assigned the identification number
CAN-2003-0132 to this issue.
VII. DISCLOSURE
TIMELINE
01/23/2003 Issue disclosed to iDEFENSE 03/06/2003
security@apache.org contacted 03/06/2003 Response from Lars
Eilebrecht 03/11/2003 Status request from iDEFENSE 03/13/2003
Response received from Mark J Cox 03/23/2003 Response received
from Brian Pane 03/25/2003 iDEFENSE clients
notified 04/08/2003 Coordinated Public
Disclosure
