Apache Web Server: un bug minore mette a rischio le informazioni del server

Un bug del popolare Apache Web Server può causare il leak di informazioni presenti in memoria esponendo password ed altri dati sensibili. I dettagli.

Apache Web Server

Il bug, svelato da un giornalista freelance (H. Böck), è stato individuato nel 2014 ma ha ricevuto solo in questi giorni un aggiornamento dedicato in grado di neutralizzarlo.

La vulnerabilità, si legge sul sito di ArsTechnica, può essere attivata inviando al server bersaglio una richiesta “OPTIONS”, utilizzata solitamente dagli utenti per determinare quali siano le richieste HTTP supportate dal server indicato. In certe condizioni il web server può tuttavia allegare alla risposta anche dati presenti in memoria.

Va precisato che non ci troviamo davanti ad un nuovo Heartbleed, la falla di OpenSSL che attirò l’attenzione dell’opinione pubblica tra Marzo ed Aprile 2014, ma in determinate circostanze la vulnerabilità “optionsbleed” (termine coniato dai giornalisti) può portare al leak di informazioni random (password incluse) presenti in memoria, come osserva Böck:

Optionsbleed is a use after free error in Apache HTTP that causes a corrupted Allow header to be constructed in response to HTTP OPTIONS requests. This can leak pieces of arbitrary memory from the server process that may contain secrets. The memory pieces change after multiple requests, so for a vulnerable host an arbitrary number of memory chunks can be leaked.

The bug appears if a webmaster tries to use the “Limit” directive with an invalid HTTP method.

Example .htaccess:

<Limit abcxyz>
</Limit>

Apache ed ambienti shared hosting

In generale optionsbleed non rappresenta, come già detto, una grave minaccia (solo 466 siti della Top 1 Million Alexa sembrano essere vulnerabili). Nelle faq del blog “The Fuzzing Project” si legge tuttavia:

Is this as bad as Heartbleed?

No. Although similar in nature, this bug leaks only small chunks of memory and more importantly only affects a small number of hosts by default.

It’s still a pretty bad bug, particularly for shared hosting environments.

Gli ambienti shared hosting sono quindi quelli più a rischio perchè la falla permette ad ognuno degli “ospiti” di carpire (o almeno tentare di farlo) le informazioni degli altri user:

There’s an additional risk in shared hosting environments. The corruption is not limited to a single virtual host. One customer of a shared hosting provider could deliberately create an .htaccess file causing this corruption hoping to be able to extract secret data from other hosts on the same system.

Fonti: 1, 2

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *