В http-сервере Apache обнаружена (http://www.contextis.com/research/blog/reverseproxybypass/) заслуживающая внимания уязвимость, проявляющаяся при работе в режиме обратного прокси. При наличии определенных rewrite-правил в конфигурации сервера, уявзимость позволяет отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ) за границей межсетевого экрана. Проблеме подвержены все версии Apache 1.3.x и Apache 2.x. Разработчики Apache уже выпустили уведомление (http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...) о наличии уязвимости и патч (http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/) для устранения проблемы в Apache 2.2.21.
<center><img src="http://www.opennet.me/opennews/pics_base/31960_1317882374.png " style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>
Проблема проявляется только в Apache, настроенном для работы в режиме обратного прок...URL: http://mail-archives.apache.org/mod_mbox/httpd-announce/2011...
Новость: http://www.opennet.me/opennews/art.shtml?num=31960
Кто-то использует апач как reverse прокси?! О_о
да, бывает.
> да, бывает.ха ха ха, бывает
я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч
и чего не зафайлил баг?
заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, что порядочные)
> и чего не зафайлил баг?
> заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт,
> что порядочные)Да я даже и не предполагал что такое возможно
ну заметил в логах фаера что идут посторонние запросы с внутренних хост машин на другие компы/сервера
Ктож знал что это не баг такой а фттча от АНБ и ЦРУ
>я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТчну самому-то патч или баг запилить - серого вещества не достаточно, видимо. только на "ха ха ха" и хватает...
> Кто-то использует апач как reverse прокси?! О_оApache + серверная java - сплошь и рядом.
блин. ждем в debian stable.
А что, кто-то использует апач а не nginx как реверс? Ну тогда мы идем к вам :)
Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор). И апач, и memcache, и Calipso - тысячи их.
> Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор).
> И апач, и memcache, и Calipso - тысячи их.Из апача конечно такой акселератор...
А умеет ли nginx ajp?
а умеет ли nginx проксировать на https?
> а умеет ли nginx проксировать на https?Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве бакенда HTTPS?
>> а умеет ли nginx проксировать на https?
> Эээ.. А хбз. А что, ему и правда нельзя прописать в качестве
> бакенда HTTPS?Похоже я наврал вам, эта инфа устарела.
День открытых дверей в Apache? :)
А не проблема ли это криворуких одминов? Думая башкой, не написал бы
RewriteRule ^(.*) http://internalserver$1 [P]
а написал бы
RewriteBase /
RewriteRule ^(.*) http://internalserver/$1 [P]
и не будет никаких проблем!
А то... Если одмин забыл пароль рута поставить или закрыть ssh доступ руту, это тоже ssh виноват?
Пардон, просмотрел, в конце статьи это упомянуто.
> А не проблема ли это криворуких одминов? Думая башкой, не написал бы
> RewriteRule ^(.*) http://internalserver$1
> а написал бы
> RewriteBase /
> RewriteRule ^(.*) http://internalserver/$1
> и не будет никаких проблем!Подтверждаю. Всё было изначально нормально настроено и проблема не каснулась
Дело даже не в кривых rewrite-правилах, а в том простом факте, что сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами. Это же основы построения DMZ.
> Дело даже не в кривых rewrite-правилах, а в том простом факте, что
> сервер, смотрящий наружу, должен быть жестко изолирован от внутренних серверов фаерволами.
> Это же основы построения DMZ.Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?
>Ээээ. Как вам файрволы помогут в случае, если балансировщик настроен криво, и позволяет пройти сквозь него в DMZ?Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем его разрешать?
> Балансировщик должен иметь доступ к сугубо внутренним серверам сети? Нет. Так зачем
> его разрешать?Под DMZ в данном случае подразумеваются серверы, находящиеся в одной подсети с внутренними хост-серверами. Чаще всего файрвола между ними и балансировщиками нет, поскольку это лишняя точка отказа.
Но вот насчет запрещать доступ со стороны балансировщика к серверам хотя бы на самих серверах - согласен, это делать нужно обязательно.
Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
Попробуйте вслух прочитать!
... на другой стороне Луны :)
> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
> Попробуйте вслух прочитать!Ну, разобраться что к чему - можно. А что еще надо то?
> Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!
> Попробуйте вслух прочитать!+1 .. репортёры канала РЭН-ТВ молча завидуюут :-D
> Проблема может быть решена при помощи патча, который запрещает передачу URI, начинающегося с символа "@" ("@other.example.com/something.png"), так как такой запрос не соответствует спецификации HTTPпусть разрешать использовть чтобы первый знак был ТОЛЬКО "/"... или "http://" "https://"!
без всяких там ("@" первым нельзя, а остальное можно)