security problem apache

Dan Bar Daniel.Bar na seznam.cz
Středa Červenec 2 18:33:32 CEST 2003



washek napsal(a):
> Dobry den,
> 
> jen tak nahodou jsem se rozhodl, ze podrobim cerstve nainstalovany
> server bezpecnostni analyze. Pomoci Shadow Security Scanneru jsem
> server proveril a s hruzou zjistil, kolik bezpecnostnich der obsahuje.
> Nejvice vsak apache. Na konci emailu prikladam adresu na report a
> prosim o radu, jakym zpusobem dane problemy resit. Obvykle uvadi
> upgrade apache, jenze pouzivam posledni verzi 1.3.27.
> 

Vas security scanner neznam, ale podle toho co jsem videl na jejich 
webu, tak je to proste nejaky on-line scanner. Tedy off-server utlita, 
ktera scanuje zadany cil na bezici sluzby. Podle ziskanych a 
analyzovanych dat pak vrati upozorneni na nejnovejsi updaty.

Jak rikam, neznam jej. Takze nemohu rici, jestli to ze vam vratil 
oznameni o bugu uw-imapd je vysledkem nejakeho fingerprintingu a nebo 
proste zjistil, ze vam na servru bezi imap (nejaka verze) a vrati 
upozorneni. Neco ve stylu, "videl jsem, ze vam tam bezi imap, v databazi 
mam, ze soft xy verze ab obsahuje chybu. Jestli je to ten co pouzivate, 
tak provedte update".

Soudil bych tak i na zaklade popisu chyby (Bugtraq ID). Treba odkaz na 
chybu imapd je z roku 2000. A jestli tam mate novou aktualni instalaci 
nejake distr., pak by to pocitam uz melo byt davno ok. Evidentne je 
databaze z niz cerpa buglist "quite old".

BTW: podle sve distribuce se podivejte na jejich web do bugtraq sekce a 
pak na soft imapd, resp. buglist, jestli tam ta vase chyba je. A kdy 
byla opravena.


Pokud chcete delat nejake *skutecne* security scans, pak pouzijte spise 
nessus. Ma jak klienta (win, Linux ...) a server, ktery bezi primo pod 
Linuxem. Takze jde o *skutecny* security scan a ne nejake odhadovani 
situace na dalku.


Dan



Další informace o konferenci Linux