Irgendwer hier mit mod_proxy?

[captaincrunch]

Guninski hat wieder mal zugeschlagen und eine Lücke in mod_proxy gefunden:
http://www.guninski.com/modproxy1.html

Unter Linux ist das ganze wohl nicht ganz so derbe, *BSD-Systeme sind aber wohl ziemlich gefährdet.

[wirsing]

Laut dem Link ist Apache <= 1.3.31 betroffen - weißt du auch was über Apache2? Ich habe mir mal den Source von proxy_util.c bei 2.0.49 angeschaut und keine ähnliche Stelle gefunden.

[andreask2]

Hi!

The flaw affects Apache httpd versions 1.3.26, 1.3.27, 1.3.28, 1.3.29 and 1.3.31 that have mod_proxy enabled and configured. Apache httpd 2.0 and other versions of Apache httpd 1.3 are unaffected.

http://www.apacheweek.com/issues/04-06-11#security

2.x ist wohl OK.

Komisch dass letzte Zeit immer mehr Probleme in den von soooo vielen Leuten eingesetzten Server-Programmen auftauchen (mod_ssl/openssl, openssh, squid, jetzt Apache 1.3 selbst, cvs/svn, pax...), oder kommt mir das nur so vor?


Grüße
Andreas

[ffl]

Wieso ist das komisch? In populärer Software wird nunmal mehr nach Bugs und Lücken gesucht als in unpopulärer!

[andreask2]

Ja, das ist schon richtig, mag auch dran liegen dass ich mich mit dem Thema seit einiger Zeit intensiver beschäftige, wenn man auf einem shared hosting Server arbeitet, da bekommt man da anscheinend noch nicht so viel von mit ;-)

Naja, da hilft wohl nix außer bekannt gewordene Lücken schnellst möglich zu schließen.

Bei Apache an sich habe ich zum Beispiel auch überhaupt keine Bedenken, da ist das letzte größere Sicherheits-problem schon ne Zeit lang her. Aber wenn ich mit dem Gedanken spiele, evtl. SSL-Client Zertifikate einzusetzen, naja, da gab es ja in letzter Zeit nicht nur ein Problem mit.

Zur Zeit habe tunnele ich den Zugang zu einer internen, webbasierten Administrationsoberfläche (für eigene Web-basierte Software, nix wie Webmin...) per SSH, was im Moment noch OK ist, da nur sehr wenige Leute drauf zugreifen müssen, aber in Zukunft will ich weg von diesem System, weil ich so unnötige Shell-Accounts vergeben muss. Eine recht sichere Alternative wären SSL-Client Zertifikate, aber im Moment bin ich nicht sicher was das geringere Ã?bel ist - entweder SSL-Client Zertifikate, mit der Angst dass darin noch einige nicht entdeckte, ausnutzbare Bugs lauern, oder HTTP-Basic Auth. mit "normalem" SSL. Naja, im Moment tendiere ich eher zu Letzterem, halt mit entsprechend langen/sicheren Passwörtern.

Und einen Reverse-Proxy lasse ich wohl auch erstmal.

Grüße
Andreas

[Joe User]

Bei Apache an sich habe ich zum Beispiel auch überhaupt keine Bedenken, da ist das letzte größere Sicherheits-problem schon ne Zeit lang her.

Apache CVS CHANGES:

Code: Select all

Changes with Apache 2.0.50
...
  *) SECURITY: CAN-2004-0488 (cve.mitre.org)
     mod_ssl: Fix a buffer overflow in the FakeBasicAuth code for a
     (trusted) client certificate subject DN which exceeds 6K in length.
     [Joe Orton]
...

[andreask2]

Ja gut, inzwischen gehört der Kram zum Core, aber ich verwende ja noch 1.3 ;-)
(Jedenfalls fehlt mir noch DAS Argument für einen Umstieg auf 2.0, vor allem weil ich fast nur PHP-Scripte auf dem Server habe)

Aber hier sieht man das ja wieder, SSL Client-Zertifikate machen mir Angst (Wobei ich vermute dass es sich hier um dasselbe Problem handelt wie schon länger beim 1.3er mod_ssl bekannt).

[sascha]

Also ich update lieber hin und wieder meinen Apachen, als dass ich gar kein SSL benutze und Passwörter, Mails usw. ungesichert durchs Netz jage ;).

[andreask2]

Ja, natürlich, aber das aktuelle Problem ist ja doch recht speziell, ich kenne glaube ich niemanden, der SSL Client-Zertifikate wirklich verwendet, obwohl das eine sehr nützliche Sache ist. Natürlich verwende ich SSL-Verschlüsselung, halt mit Server-Zertifikat.