Document Actions

"ICT Security"(n.°42, febbraio 2006): Apache è imprendibile?

Motivi tecnici sicuri e possibili ragioni del perché da 4 anni non si scoprono nuove vulnerabilità...

Da più di 3 anni curiamo questa rubrica che fa il punto sulle vulnerabilità informatiche. Non siamo però mai riusciti a parlare di Apache e delle sue vulnerabilità. Colmiamo allora questa lacuna scrivendo della sua “non vulnerabilità”. L’ultimo grande bug era stato evidenziato nell’estate 2002: “Apache Chunked Encoding Vulnerability” peraltro attualmente non pubblicamente exploitabile sotto Linux.
http://www.securityfocus.com/bid/5033/
e da allora non vengono scoperte nuove vulnerabilità di una certa importanza. Certo negli anni precedenti Apache è stato uno dei programmi più indagati e probabilmente è difficile che qualcosa di grave sia sfuggito. I vulnerability hunter lavorano prima sui codici o sulle tecniche che danno loro maggior probabilità di raggiungere in minor tempo il loro scopo, quindi è molto più semplice attaccare non Apache in quanto tale, ma le web application (come già riportato in alcuni numeri precedenti) che si appoggiano ad Apache. In sostanza ci sono così tanti aspetti exploitabili sui livelli più alti che non serve scendere fino al web server. Certo sono state trovate diverse vulnerabilità su software correlati con Apache come i vari moduli mod_ssl / PHP, sul software principale invece non se ne trovano. Ci riferiamo alla serie di versioni 1.3.x; le 2.x sono state completamente riscritte. Abitudine degli auditor è di tenere un occhio sui cvs e dal momento della comunicazione della vulnerabilità il relativo exploit sarebbe pronto dopo pochi momenti. Uno 0day simile potrebbe portare notorietà, soddisfazione economica e anche un indiscutibile vantaggio tecnico al suo possessore. Sorge allora il dubbio che data la enorme importanza di questo server web (70% dei server web attivi - fonte Netcraft) forse qualcuno abbia scoperto qualcosa ma non ha nessun interesse a divulgarla o non ha trovato nessuno disposto a pagarla sufficientemente. L’ipotesi fatta è verosimile ed è stata fatta per far riflettere. Dato certo invece è che molti sistemi ormai hanno delle protezioni a livello di memoria (kernel glibc etc) che rendono piu' difficile exploitare vulnerabilita' a basso livello e dunque scoraggiano gli auditor a cercare questa tipolgia di problemi. Alla fine conviene di più preoccuparsi di fatti molto frequenti come le vulnerabilità sugli applicativi web più che dei possibili ma poco probabili 0day di Apache.

Emaze Networks S.p.A.

Sections

Document Actions

"ICT Security"(n.°42, febbraio 2006): Apache è imprendibile?

Home >> "ICT Security"(n.°42, febbraio 2006): Apache è imprendibile?
Document Actions "ICT Security"(n.°42, febbraio 2006): Apache è imprendibile? Motivi tecnici sicuri e possibili ragioni del perché da 4 anni non si scoprono nuove vulnerabilità... Da più di 3 anni curiamo questa rubrica che fa il punto sulle vulnerabilità informatiche. Non siamo però mai riusciti a parlare di Apache e delle sue vulnerabilità. Colmiamo allora questa lacuna scrivendo della sua “non vulnerabilità”. L’ultimo grande bug era stato evidenziato nell’estate 2002: “Apache Chunked Encoding Vulnerability” peraltro attualmente non pubblicamente exploitabile sotto Linux. http://www.securityfocus.com/bid/5033/ e da allora non vengono scoperte nuove vulnerabilità di una certa importanza. Certo negli anni precedenti Apache è stato uno dei programmi più indagati e probabilmente è difficile che qualcosa di grave sia sfuggito. I vulnerability hunter lavorano prima sui codici o sulle tecniche che danno loro maggior probabilità di raggiungere in minor tempo il loro scopo, quindi è molto più semplice attaccare non Apache in quanto tale, ma le web application (come già riportato in alcuni numeri precedenti) che si appoggiano ad Apache. In sostanza ci sono così tanti aspetti exploitabili sui livelli più alti che non serve scendere fino al web server. Certo sono state trovate diverse vulnerabilità su software correlati con Apache come i vari moduli mod_ssl / PHP, sul software principale invece non se ne trovano. Ci riferiamo alla serie di versioni 1.3.x; le 2.x sono state completamente riscritte. Abitudine degli auditor è di tenere un occhio sui cvs e dal momento della comunicazione della vulnerabilità il relativo exploit sarebbe pronto dopo pochi momenti. Uno 0day simile potrebbe portare notorietà, soddisfazione economica e anche un indiscutibile vantaggio tecnico al suo possessore. Sorge allora il dubbio che data la enorme importanza di questo server web (70% dei server web attivi - fonte Netcraft) forse qualcuno abbia scoperto qualcosa ma non ha nessun interesse a divulgarla o non ha trovato nessuno disposto a pagarla sufficientemente. L’ipotesi fatta è verosimile ed è stata fatta per far riflettere. Dato certo invece è che molti sistemi ormai hanno delle protezioni a livello di memoria (kernel glibc etc) che rendono piu' difficile exploitare vulnerabilita' a basso livello e dunque scoraggiano gli auditor a cercare questa tipolgia di problemi. Alla fine conviene di più preoccuparsi di fatti molto frequenti come le vulnerabilità sugli applicativi web più che dei possibili ma poco probabili 0day di Apache.
© Emaze Networks S.p.A. \| P.IVA 00998050322 \| Terms of use & Copyright