mboost-dp1

unknown

Sårbarhed fundet i Apache

- Via Computerworld DK -

Der er fundet en sårbarhed i Apache, som kan udnyttes til at ligge serveren ned, og i værste fald give en angriber kontrol over maskinen. Fejlen findes i version 1.3.x og versioner af Apache 2 op til 2.0.36, Apache folkene arbejder i øjeblikket på en fejlrettelse.





Gå til bund
Gravatar #1 - Onde Pik
18. jun. 2002 14:56
Hehe
Gravatar #2 - Shrike
18. jun. 2002 15:07

nå. og hvad så når man sammenligner med IIS ?
Gravatar #3 - Peter Perlsø
18. jun. 2002 15:07
ARGH ONDEPIK NU DIG IGEN!!!!

Anyway, jeg håber ikke Apachen' på miN Mac OS X 10.1.5 box er sårbar ! :(
Gravatar #4 - Z42Cool
18. jun. 2002 15:13

2 dage og der er ikke kommet en patch endnu - det er fedt at det er opensovs så det går så lynende hurtigt!
Gravatar #5 - west
18. jun. 2002 15:44
Er MS hurtigere? NEJ, så luk lige røven tak.
Gravatar #6 - sKIDROw
18. jun. 2002 16:17
Alene at vi ved det...
Microsoft ville have gjort hvad de kunne for at skjule det.
Nu det er offentligt viden kan administratorene tage de rette forbehold, og da ALLE har adgang til kildekoden er der rigtig mange der hacker på en løsning... :o)
Gravatar #7 - Hekto
18. jun. 2002 16:48
Så vil jeg da spille vældig klog, da jeg faktisk havde et bedre link end sKIDROWs :P
http://httpd.apache.org/info/security_bulletin_200...


------------------------

så vidt jeg kan læse mig til, har Apache prøvet at holde det hemmeligt :
<STRONG>"We were also notified today by ISS that they had published the same issue which has forced the early release of this advisory."</STRONG>
<STRONG></STRONG>
er det mig som tyder det forkert ?


------------------------

West > Hva er det problem ? Han skriver da højt og tydeligt ironi ? ( eller kom det bagefter ?)

------------------------

"ALLE har adgang til kildekoden er der rigtig mange der hacker på en løsning... :o) "

Eller måske rigtig mange hackere, der udnytter hullet til der kommer en løsning :P
Gravatar #8 - sKIDROw
18. jun. 2002 17:12
#7 Andekrigeren



<STRONG>Så vil jeg da spille vældig klog, da jeg faktisk havde et bedre link end sKIDROWs :P </STRONG>
<STRONG>http://httpd.apache.org/info/security_bulletin_20020617.txt</STRONG>
<STRONG></STRONG>
<STRONG>------------------------</STRONG>
<STRONG>så vidt jeg kan læse mig til, har Apache prøvet at holde det hemmeligt :</STRONG>
<STRONG>"We were also notified today by ISS that they had published the same issue which has forced the early release of this advisory."</STRONG>
<STRONG>er det mig som tyder det forkert ?</STRONG>
<STRONG></STRONG>
Jeg har svært ved andet end at læse det lige som dig..
Det må stå helt for deres egen regning... ;o)

<STRONG>"ALLE har adgang til kildekoden er der rigtig mange der hacker på en løsning... :o) "</STRONG>
<STRONG>Eller måske rigtig mange hackere, der udnytter hullet til der kommer en løsning :P</STRONG>
Well
Det er begrænset hvor mange steder en cracker vil have held med det store...
De fleste seriøse admins overvåger nok deres apache ret nøje, indtil den kan blive patchet... ;o)
Men ja..
Sometimes shit happens..
Gravatar #9 - Hekto
18. jun. 2002 17:18

<STRONG>De fleste seriøse admins overvåger nok deres apache ret nøje, indtil den kan blive patchet... ;o)</STRONG>



he he, det blir et par trælse døgn ;0)

men gad godt vide om apache har holdt det hemmeligt, så holder det med at "MS skoder fordi..bla bla" jo ikke så meget mere :) Eller måske kan de se fordelen i den måde MS gør det på ;)
Gravatar #10 - anthony
18. jun. 2002 17:29
Så vidt jeg ved er det ikke et root-exploit?Hvis en lignende fejl ville have... NEJ!!!, jeg gidder sq ikke at hjælpe IIS vs Apache diskusionen igang igen :)
Gravatar #11 - Vieri_5000
18. jun. 2002 17:35

"Der er fundet en sårbarhed i Apache, som kan udnyttes til at <STRONG>ligge</STRONG> serveren ned, og i værste fald give en angriber kontrol over maskinen."

Øhm...hedder det ikke <STRONG>lægge</STRONG> serveren ned?

Nå...fuck det. Hvad ved jeg om det, jeg er trods alt bare udlænding...
Gravatar #12 - annoia
18. jun. 2002 17:36
Jo, men den slags småting er vi jo så vandt til på newz.dk - (nyheder for ordblide)
Gravatar #13 - Dizz
18. jun. 2002 17:44
--
<STRONG>De fleste seriøse admins overvåger nok deres apache ret nøje, indtil den kan blive patchet... ;o)</STRONG>
<STRONG>--</STRONG>
<STRONG></STRONG>
<STRONG>Hvem tør prøve at lave et DoS angreb mod en unix nørd...</STRONG>
<STRONG></STRONG>
<STRONG>De sidder og griner og siger make my day ;)</STRONG>
Gravatar #14 - gEPHION
18. jun. 2002 17:48
LOL

Det er utroligt at der kommer de der "jamen på IIS er det altså meget værre, og MS holder dem hemmeligt" hver eneste gang der er fundet et hul i et open source produkt.

Ingen af systemerne er fejlfri, SÅ KAN I LÆRE DET! ;)

Iøvrigt. Holder MS og andre det hemmeligt for at kunne rette fejlen før enhver scriptkiddie prøver at udnytte det, eller fordi det er "pinligt"??

For hvis det er den første grund, kan jeg da ikke have ondt i røven over at det bliver holdt for lukkede døre, være det MS eller open source folket..

<STRONG>annoia</STRONG>:

"Jo, men den slags småting er vi jo så <STRONG>vandt </STRONG>til på newz.dk - (nyheder for ordblide)"

Ehehehe.. Dobbeltpointe eller er du en af dem der vil have newz.dk slogan omdøbt?. Jeg er sikker på det hedder <STRONG>vant</STRONG> til, men den må vi lige overlade til Hektor at dømme ;)
Gravatar #15 - delicon
18. jun. 2002 17:49
"Øhm...hedder det ikke <STRONG>lægge</STRONG> serveren ned? "Jo det gør. Spanskrøret tilbage i skolen så barnerumperne kan lære at stave."Wææææj - vi STYGER barr mæd våres l33t stavnin !"
Gravatar #16 - sKIDROw
18. jun. 2002 17:50
#13

Jeg stoler på min vagtpingvin...
Hvis det kommer gennem den, så fortjener de sq næsten æren... hæh
Gravatar #17 - Dizz
18. jun. 2002 17:52
Hørt
Gravatar #18 - sKIDROw
18. jun. 2002 17:56
#15

/me kalder lige på stavepolitiet...
Gravatar #19 - Shrike
18. jun. 2002 18:10
bleh. hvad forventer folk ? jeg mener det er sku ikke alle der har "skillz" til at stave perfekt og hvad så ?

hvis det er for uforståeligt så nøjes de fleste med et "eh?" lignede svar...

eller der det forbudt at være dødelig ?
Gravatar #20 - tjumse
18. jun. 2002 18:11
hmm der er vel ingen der kører en seriøs server som root?
Hvis man har sin Apache kørende på sin egen konto, kan en et evt. exploit ved maksimalt få adgang til det som Apache brugeren har?
Gravatar #21 - sKIDROw
18. jun. 2002 18:14
#20

Nogle ting kan crashes så de laver et overflow ind i et hukommelses område med root rettigheder.
Og vupti... :o(
Gravatar #22 - SilverWolf
18. jun. 2002 18:51
#13 hahaha :o)

Hvis det lykkedes dem at lave en reverse telnet igemmen min serverpack, ja... Så har de sku fortjent at få adgang :o))

/me sidder dog med en tail -f /var/log/httpd/access.log i min lille putty konsol :o)
Gravatar #23 - Hekto
18. jun. 2002 20:10
OT : ang ACSII art for et par dage siden :
http://www.schnoggo.com/figlet.html

Et must at ha sit navn i ACSII :

____ __ / _ / L ___ _ __ _ __ ____ __ /' _ ` /'_` /'__` /`'__ /',__ / / / / L / __/ / /__, ` _ _\ _ _\ ___,_\ ____ _ /____/ /_//_/ /_//_/ /__,_ / /____/ /_/ /___/
admin : ka vi ik få en font med fast bredde ..plz :) ?
Gravatar #24 - mortenp
19. jun. 2002 17:32
#21 sKIDROw:
Nej. Hvis processen koerer som andet end root kan den ikke bare blive root - det kraever en fejl i kernen. Punktum.
Gravatar #25 - Menkhaf
21. jun. 2002 14:49
23# ?> Fixedsys forever...
Gravatar #26 - Hektor
21. jun. 2002 14:55
#12 annoia:
"Jo, men den slags småting er vi jo så vandt til på newz.dk - (nyheder for ordblide)"

Var den med vilje? "Vandt"? Datid af "at vinde"? Det korrekte ord er "vant".


#18 sKIDROw:
"/me kalder lige på stavepolitiet..."

Er'd daj da ha' kald å æ stawpolæti?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login