Apache: Version 2.4.52 schließt Sicherheitslücken

Böswillige Angreifer könnten Apache-Internetserver abstürzen lassen oder eine Sicherheitslücke sogar für noch Schlimmeres missbrauchen. Diese Schwachstellen dichtet die neue Apache-Version 2.4.52 ab. Eine der Sicherheitslücken wird von den Entwicklern als moderates Risiko, eine andere aber als "hohe" Gefahr bewertet. Deshalb sollten die Administratoren die Aktualisierung rasch installieren. Details zu den Schwachstellen Die schwerwiegendere Lücke steckt im LUA-Skript-Parser mod_lua (CVE-2021-44790, Risiko hoch). Durch manipulierte Anfragen aus LUA-Skripten heraus hätten Angreifer einen Pufferüberlauf beim Aufruf von r:parsebody() auslösen können. Pufferüberläufe dieser Art lassen sich häufig beispielsweise zum Ausführen eingeschleusten Codes missbrauchen. Zwar sind dem Apache-Projekt noch keine Exploits für diese Schwachstelle bekannt. aber die Entwickler schätzen, dass es möglich sei, einen dafür zu entwickeln. Apache als Forward-Proxy Ist Apache nur als Forward-Proxy konfiguriert, dann könnten Angreifer mit dem Senden einer manipulierten URI einen Absturz aufgrund einer sogenannten Null-Pointer-Dereferenz auslösen (CVE-2021-44224, moderat). Ein solcher Pointer (Zeiger) weist bereits ins digitale Nirvana (NULL), was ihn dann ungültig macht. Die weitere Dereferenzierung führt in aller Regel zum Absturz der Software. Apache als Forward- und Reverse-Proxy Wenn Apache aber als Forward- und Reverse-Proxy arbeitet, kann das eine Server Side Request Forgery (SSRF) provozieren, durch die ein Angreifer unbefugt Zugriff auf Ressourcen des Servers oder weiterer Systeme bekommen könnte. Neue Apache-Version 2.4.52 bringt Abhilfe Von der ersten Lücke [...]

2021-12-21T11:38:12+02:00Dezember 21st, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Apache: Version 2.4.52 schließt Sicherheitslücken

Die neue Version PuTTY 0.75 ist verfügbar

Der SSH- und Telnet-Client PuTTY unterstützt jetzt in der aktuellen Version 0.75 endlich auch das SUPDUP-Protokoll (RFC 734). Damit kann man beispielsweise Verbindungen mit PDP-10-Mainframes aufbauen. Grundsätzlich ist „PuTTY“ eine Client-Software für die Fernwartung von Internetservern. Das Programm baut die Verbindung mit einem Server über die Protokolle Telnet, SSH oder rlogin auf und nimmt Nutzereingaben über die Kommandozeile entgegen. Mit einem einfachen Mausklick öffnet man ein Sitzungsfenster. Nach Eingabe der Login-Daten, verbindet Sie „PuTTY“ direkt mit dem gewünschten Internet-Server. Nun können Sie Befehle über eine Terminalkonsole eingeben, als ob Sie direkt vor dem Bildschirm des Servers säßen. Dabei speichert die Software, wenn Sie das wünschen, die Serveradressen und Zugangsdaten auf Ihrem PC, was die spätere erneute Verbindung mit demselben Server komfortabler macht. Seit letzter Woche steht PuTTY 0.75 zum Download bereit.

2021-06-09T09:14:25+02:00Juni 9th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Die neue Version PuTTY 0.75 ist verfügbar

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP's Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt. Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen. SSRF-Angriffe in der Praxis Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt. Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können… Britisches Zensursystem antwortet auf Header Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem [...]

2017-07-31T11:02:16+02:00Juli 31st, 2017|Allgemein, HTML, test|Kommentare deaktiviert für HTTP-Header verwirren Internetserver

Günstige SSD Samsung 750 Evo beschleunigt Client und Server

Für den Arbeitsplatzrechner hat es sich schon herumgesprochen, aber auch Internetserver können durch den Einsatz von Halbleiter-Festplatten um mehr als eine Größenordnung beschleunigt werden. Gerade wenn man auf dem Internetserver Anwendungen fährt, die häufig auf die Festplatte zugreifen müssen (typischerweise Datenbank-Anwendungen), ist die SSD schon länger das Mittel der Wahl, die Auslieferung der Seiten zu beschleunigen. Dem kommt auch die neue Einstiegsserie SSD 750 Evo von Samsung, die die teureren 850 Evo und 850 Pro ersetzt. Die 2,5-Zoll-Laufwerke der 750-Evo-Reihe sollen bald in Kapazitäten von 120, 250 und 500 GByte zu kaufen sein. Die Anbindung ans System erfolgt per 6-GBit/s-SATA-Schnittstelle. Als Cache dienen 256 MByte DRAM. Die unverbindlichen Preisempfehlungen liegen für das 120-GByte-Modell bei 65 Euro, für die 250-GByte-Version bei 89 Euro und bei 159 Euro für die 500-GByte-Version. Online ist die mittlere Variante schon ab rund 70 Euro erhältlich.

2016-05-27T08:00:19+02:00Mai 27th, 2016|Allgemein|Kommentare deaktiviert für Günstige SSD Samsung 750 Evo beschleunigt Client und Server

Kostenlose SSL-Zertifikate von Let’s Encrypt

Eine Kooperation der Internetpioniere Mozilla, Cisco und Akamai hat sich zusammengefunden, um das Internet besser vor Mitlauschern wie BND, NSA, CIA, Konkurrenten oder Politikern zu schützen. Ziel ist, dass verschlüsselte Verbindungen zum Standard im Netz werden. Um das zu erreichen, stellt die gemeinsame Initiative "Let's Encrypt" kostenlos und auch unbürokratisch SSL-Zertifikate aus. Dazu gibt es auch ein Software-Werkzeug, das Internetservern im Handumdrehen https:// beibringt. Die gute Neuigkeit dazu für Internetschaffende: Let’s Encrypt startet am 3. Dezember einen öffentlichen Betatest. Ab übernächster Woche kann also jedermann ein solches kostenloses Zertifikat beantragen, das man zur TLS-Verschlüsselung von Internetseiten benutzen kann. Die bisherige Anforderung, sich für das Betaprogramm erst zu registrieren oder auf eine Einladung zu warten, entfällt damit. Das eigentliche Bonbon an SSL-verschlüsselten Seiten ist aber nicht unbedingt die kostenlose Abgabe der Zertifikate: Die Suchmaschine Google bewertet nämlich SSL-verschlüsselte Internetseiten deutlich höher als unverschlüsselte.

2015-11-17T19:31:37+02:00November 17th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Kostenlose SSL-Zertifikate von Let’s Encrypt

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager

Die Scriptsprache PHP wird heute 20

Die Scriptsprache PHP ist einfach zu erlernen, und mit ihr kann man schnell Internetseiten und auch sehr komplexe Webanwendungen erstellen. Deshalb ist PHP auch trotz aller Kritik selbst zwanzig Jahre nach seiner Einführung noch immer die meist genutzte Programmiersprache auf den Servern im Internet. Vor genau zwanzig Jahren hat Rasmus Lerdorf die Personal Home Page Tools (PHP Tools) veröffentlicht – das war die Geburtsstunde der beliebtesten aller Scriptsprachen.

2015-06-08T19:21:28+02:00Juni 8th, 2015|PHP|Kommentare deaktiviert für Die Scriptsprache PHP wird heute 20

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente. Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung. Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

2015-04-18T17:03:37+02:00April 18th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Angriffe über http.sys auf Windows-Server

Verräterische Statusseiten beim Webserver Apache

Eine Untersuchung von Securi deckte auf, dass viele Internetserver ihre Statusseiten öffentlich anzeigen. Dabei können natürlich die IP-Adressen oder sogar Passwörter der Besucher verraten werden. Bei Bezahldienstleistern erscheinen auf den Seiten unter Umständen Sitzungstoken, über die man die gesamte Sitzung entführen und echte Schäden anrichten kann. Eine Liste der vom Automatiktest von Securi gefundenen Server mit offenen Statusseiten wurde unter Urlfind.org ins Internet gestellt. Ursache dafür ist eine fehlerhafte Konfiguration des Apache-Tools  mod_status. Wie man das korrekt konfiguriert, findet sich in der Apache-Dokumentation.

2012-11-03T10:07:35+02:00November 3rd, 2012|Allgemein|Kommentare deaktiviert für Verräterische Statusseiten beim Webserver Apache
Nach oben