Apache bug fixet

Var det ikke ca. 2 dage?

Fornemmer jeg en kommende "Microsoft-er-længe-om-at-rette-fejl" flamewar !? ;)

Microsoft er længe om at rette fejl.



så skulle den være på plads!

Så er det fixet på newz.dk også, undskyld nedetiden. :)

<STRONG>annoia</STRONG>:

"Var det ikke ca. 2 dage?"

joeh, sådan ca. Men hvor lang tid var det nu de havde holdt den hemmelig? ;)

Al respekt til Apache, 2 dage om at rette en bug er sq fint nok til mig.
Skal vi snakke lidt om bug-fixes fra Microsoft :)

Ja jeg må sq give #6 ret... Det er fanme hurtig lavet...!

Jeg må nu også give gEPHION ret... Det er ikke til at vide hvor længe apache har kendt til fejlen :/

#5 & #8

Den fremgangsmåde må stå helt for deres egen regning... ;o)

Dumt spørgsmål, jeg bruger ikke apache så det er nok derfor jeg ikke ved det.
Men hvorfor er der to forskellige versions numre ?

Ikke så godt for Open Source at nogle begynder med den samme sikkerhedspolitik som M$.

"Security thru Obscurity".

Ikke lige så smart. Så hellere de har smidt en Advisory om det og lavet en fix/patch og så rette fejlen i den næste release, i stedet for at skynde på en release, der måske ikke er blevet helt stabil.

#10
Apache 1.3 : er den gamle stabile apache.
Apache 2.0 : den nye lige så stabile, men den kører bedre på non-*nix'er

<STRONG>Lord_Zarkovich</STRONG> >
I 2 dage, har apache været sårbar for angreb ! Hvis medierne havde holdt deres kæft, var fejlen nok blevet rettet uden nogen havde lagt mærke til det !Jeg mener at MS gør det rigtige, af netop den grund ! Og sikkert den samme grund til at Apache holdt den hemmelig ( mon det er første gang ? ) .
Desuden modsiger du dig selv :"hellere de har smidt en Advisory om det og lavet en fix/patch og så rette fejlen i den næste release, i stedet for at skynde på en release, der måske ikke er blevet helt stabil."De har netop nu skyndet sig at lave en fix så hurtigt som muligt, hvorimod hvis de havde kunne holde det hemmeligt, havde de haft en del mere tid til at lave den perfekt i.
ot :http://it-avisen.dk/nyheder.asp?ID=3659&app=de...
lyder ik så rart for nettet :/

Nu er det jo ikke medierne der hacker servere, men derimod små scriptkiddies, eller hackers. Disse får som regel ikke oplysninger om sikkerhedshuller gennem jyllandsposten eller lign, men får det derimod fortalt af andre i deres community. Det er ikke sikkert at det ville have hjulpet, hvis apache havde holdt det hemmeligt, det kunne meget vel være sådan at intetanende administratore ville blive hacket pga. manglende oplysninger.

Afaik har apache da ikke gjort noget for at holde det hemmeligt?

Og de beskylder afaik heller ikke medierne for at være skyld i sikkerhedsfejl og ej heller angrebet sikkerhedsfirmaet og truet med retssager eller at skjule al information fra det firma hvis det frigav information om sikkerhedsfejl.

Hvis de gjorde sådan, kunne i til gengæld godt beskylde dem for at opføre sig som MS.

Som Caldera regional manager siger "We don't want to push them into extremes, like adopting Microsoft"

Men for lige at være fair engang, selvom open source lugter af sur trold :)

Så man da indrømme at SELVOM Apache folkene måske har holdt den fejl hemmelig, så gik der altså stadig kun 2 dage, fra fejlen blev offentlig, til den er blevet rettet....

Og selvom jeg personligt mener at MS er rimeligt hurtige til at rette fejl, er de sjældent kun 2 dage om det når fejlen(e) bliver offentligtgjort :)

men der er da ikke kommet en msi installer endnu :p

== useless :p

#16

./configure
make
make install

;op

sKIDROw

Nu er jeg ikke en linux haj men jeg mener helt bestemt at en .msi fil er en instalations fil til programmer til windows :-P

#18

Hvis han kan være plat, kan jeg vel også... ;o)
Det svarer til at jeg kalder Adobe Photoshop ubrugelig, blot fordi det ikke er lavet til Linux endnu.. ;o)

sKIDROw

Ja sådan kan man jo osse se på det :)

#12

De har da ikke lavet en patch/fix. De har sendt en ny version ud af programmet. Det er squtte det samme.
Desuden holder jeg på at det er bedre med en advisory, indtil fejlen er rettet ordentlig, om fx. hvordan du slår lige den del fra, eller hvordan du undgår at bruge den del der er fejl i(hvis muligt). Og så sende en fix ud, og rette fejlen i den næste version af programmet.

Men det kan da godt være det ville være nemmere med en ny version for loonix og wintendo brugerne, da de jo ikke har ports.

Er det næsten ikke ligemeget om det går 2 dage eller 1 uge før rettelsen er der ? Der er da sikkert ikke alle der har en apache webserver der over hovedet er klar over den skal patches. Der er da stadig en masse ubeskyttede windows maskiner der ikke er fixed mod de første vira der masse reproducerer sig selv over nettet. At tro alle apache server er patchet dagen efter , er da også utopi.

Hvis det her er sandt:

Alas, a hacker known as "GOBBLES" has found and posted code which is claimed to "root" any unpatched 32-bit, Intel-based Apache server running UNIX or a UNIX-like operating system (such as Linux). The exploit, called "apache-scalp.c", is making the rounds on IRC and mailing lists, and is ripe for incorporation into worms and DDoS (distributed denial of service) attack tools.
http://www.extremetech.com/article2/0,3973,150410,...

går det nok ikke længe før vi har de første apache vira der sluger båndbredde.

Det er nu kun OpenBSD der står for skud med deres sploit, check headeren fra apache-scalp her:

/* * apache-scalp.c * OPENBSD/X86 APACHE REMOTE EXPLOIT!!!!!!! * * ROBUST, RELIABLE, USER-FRIENDLY MOTHERFUCKING 0DAY WAREZ! * * BLING! BLING! --- BRUTE FORCE CAPABILITIES --- BLING! BLING! * * ". . . and Doug Sniff said it was a hole in Epic." * * --- * Disarm you with a smile * And leave you like they left me here * To wither in denial * The bitterness of one who's left alone * --- * * Remote OpenBSD/Apache exploit for the "chunking" vulnerability. Kudos to * the OpenBSD developers (Theo, DugSong, jnathan, *@#!w00w00, ...) and * their crappy memcpy implementation that makes this 32-bit impossibility * very easy to accomplish. This vulnerability was recently rediscovered by a slew * of researchers. * * The "experts" have already concurred that this bug... * - Can not be exploited on 32-bit *nix variants * - Is only exploitable on win32 platforms * - Is only exploitable on certain 64-bit systems * * However, contrary to what ISS would have you believe, we have * successfully exploited this hole on the following operating systems: * * Sun Solaris 6-8 (sparc/x86) * FreeBSD 4.3-4.5 (x86) * OpenBSD 2.6-3.1 (x86) * Linux (GNU) 2.4 (x86) * * Don't get discouraged too quickly in your own research. It took us close * to two months to be able to exploit each of the above operating systems. * There is a peculiarity to be found for each operating system that makes the * exploitation possible. * * Don't email us asking for technical help or begging for warez. We are * busy working on many other wonderful things, including other remotely * exploitable holes in Apache. Perhaps The Great Pr0ix would like to inform * the community that those holes don't exist? We wonder who's paying her. * * This code is an early version from when we first began researching the * vulnerability. It should spawn a shell on any unpatched OpenBSD system * running the Apache webserver. * * We appreciate The Blue Boar's effort to allow us to post to his mailing * list once again. Because he finally allowed us to post, we now have this * very humble offering. * * This is a very serious vulnerability. After disclosing this exploit, we * hope to have gained immense fame and glory. * * Testbeds: synnergy.net, monkey.org, 9mm.com * * Abusing the right syscalls, any exploit against OpenBSD == root. Kernel * bugs are great. * * [#!GOBBLES QUOTES] * * --- you just know 28923034839303 admins out there running * OpenBSD/Apache are going "ugh..not exploitable..ill do it after the * weekend" * --- "Five years without a remote hole in the default install". default * package = kernel. if theo knew that talkd was exploitable, he'd cry. * --- so funny how apache.org claims it's impossible to exploit this. * --- how many times were we told, "ANTISEC IS NOT FOR YOU" ? * --- I hope Theo doesn't kill himself * --- heh, this is a middle finger to all those open source, anti-"m$" * idiots... slashdot hippies... * --- they rushed to release this exploit so they could update their ISS * scanner to have a module for this vulnerability, but it doesnt even * work... it's just looking for win32 apache versions * --- no one took us seriously when we mentioned this last year. we warned * them that moderation == no pie. * --- now try it against synnergy :> * --- ANOTHER BUG BITE THE DUST... VROOOOM VRRRRRRROOOOOOOOOM * * xxxx this thing is a major exploit. do you really wanna publish it? * oooo i'm not afraid of whitehats * xxxx the blackhats will kill you for posting that exploit * oooo blackhats are a myth * oooo so i'm not worried * oooo i've never seen one * oooo i guess it's sort of like having god in your life * oooo i don't believe there's a god * oooo but if i sat down and met him * oooo i wouldn't walk away thinking * oooo "that was one hell of a special effect" * oooo so i suppose there very well could be a blackhat somewhere * oooo but i doubt it... i've seen whitehat-blackhats with their ethics * and deep philosophy... * * [GOBBLES POSERS/WANNABES] * * --- #!GOBBLES@EFNET (none of us join here, but we've sniffed it) * --- [email protected] (low-level.net) * * GOBBLES Security * [email protected] * http://www.bugtraq.org * */

ikke kun openbsd mere: http://iron.fi.st/apache-scalp.c

Hvis du læser header du selv har postet:

* However, contrary to what ISS would have you believe, we have* successfully exploited this hole on the following operating systems:** Sun Solaris 6-8 (sparc/x86)* FreeBSD 4.3-4.5 (x86)* OpenBSD 2.6-3.1 (x86)* Linux (GNU) 2.4 (x86)