security problem apache

[Pavel Kankovsky]

On Tue, 1 Jul 2003, washek wrote:

> jen tak nahodou jsem se rozhodl, ze podrobim cerstve nainstalovany
> server bezpecnostni analyze. Pomoci Shadow Security Scanneru jsem
> server proveril a s hruzou zjistil, kolik bezpecnostnich der obsahuje.
> Nejvice vsak apache. Na konci emailu prikladam adresu na report a
> prosim o radu, jakym zpusobem dane problemy resit.

> http://www.plzensko.net/report.html

Kdyz se na to podivame:

BID-5991, 5992, 5993...to je vsechno htdigest. Pokud ho nepouzivate, tak
neni co resit. Maximalne muzete ten program smazat, abyste ho nespustil
omylem.

CAN-2002-1233/BID-5990...to je to same v bledemodrem pro htpasswd.
Pokud ho pouzivate, tak to muze byt trochu problem.

BID-6466...na webu, kde na tom zalezi, byste stejne ruzne "smeti" jako
printenv nemel mit vystaveno.

BID-6230...pochybuji, ze mod_jk pouzivate, nebo snad ano?

BID-6939, 6943...ne ze by bylo dobre, ze to vykecava metainformace o
souborech, na druhou stranu by v rozumne navrzenem systemu nemely tyto
informace byt nijak zvlast utocnikovi k uzitku.

CAN-2000-0284/BID-1110...pokud opravdu mate deravou verzi (i kdyz cynik
by mohl poznamenat, ze kazda verze cehokoli z UofW je derava <g>) a
mnozina uzivatelu (se zohlednenim jejich lokace v siti) s pristupem
k IMAPu je nadmnozinou uzivatelu, co maji shell access (pokud ho nekdo
ma, pak by se touto cestou pouze dobyval do otevrenych dveri), pak asi
mate problem.

VRFY...to je do jiste miry otazka osobniho vkusu, zda je vhodne a zadouci
tento prikaz mit (za predpokladu, ze podava nejake skutecne informace).

> Obvykle uvadi upgrade apache, jenze pouzivam posledni verzi 1.3.27.

To zalezi na tom, jak definujete "posledni". V rade 1.3 to posledni
verze je. Ale mame tez radu 2.0, kde jsou mimochodem vyse zminene problemy
s htdigest a htpasswd opraveny.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."