Nieuws

Apache-bug lekt geheugendata: even gevaarlijk als heartbleed?

Net zoals bij de bekende Heartbleed-bug lekken Apache-webservers onder bepaalde omstandigheden geheugendata. Hackers kunnen hierdoor aan wachtwoorden en andere info geraken.

 
Een journalist, Hanno Bock, is een lek op het spoor gekomen in Apache-webservers, waarbij willekeurige geheugendata wordt gelekt. De bug doet erg hard denken aan Heartbleed, maar is gelukkig minder wijdverspreid. Desalniettemin moeten bedrijven hun Apache-servers zo snel mogelijk updaten.
 

Het probleem

Wanneer je een Options-vraag verstuurt naar een webserver, zal hij reageren met de protocollen die hij ondersteunt. ‘Allow: GET, HEAD’ is een voorbeeld van een logische reactie van een server. Bock merkte echter dat sommige servers een antwoord opstuurden met corrupte data. Initieel was hij niet zeker welke applicatie achter de bug zat en wanneer de lek zich voordeed. Met de hulp van een Apache-ontwikkelaar kwam hij echter de oorzaak van het lek op het spoor.
 
In Apache-webservers zit een lek die ervoor zorgt dat onder bepaalde omstandigheden geheugendata wordt gelekt. Indien de eigenaar van de server een limiet zet op de ondersteunde methodes via de .htacces-file, belandt willekeurige geheugendata in de Allow-header. Volgens Bock bevatten 466 webservers uit de Alexa Top 1 Million met de populairste websites de bug.
 

Gevolgen

De geheugendata die wordt gelekt, lijkt willekeurig te zijn. Toch kan het probleem grote gevolgen hebben. In deze data kunnen immers wachtwoorden en andere gevoelige informatie zitten. Gelukkig is het via het internet moeilijk om servers te vinden die de bug bevatten. Hierdoor vormt het probleem minder risico dan de bekende Heartbleed-bug uit 2014.
 
Indien je een Apache-webserver gebruikt in een gedeelde omgeving, dan loop je echter extra gevaar. Andere gebruikers van de omgeving kunnen immers de .htaccess-files in de omgeving veranderen, waardoor ze de bug uitlokken.
 
Gebruikers van een gedeelde omgeving moeten daarom hun servers zo snel mogelijk upgraden en herstarten. Apache stuurt updates uit die het probleem verhelpen en je kan online de oplossingen vinden voor de huidige versie van Apache  en Apache 2.2.

apachebeveiligingbugbusinesswebserver

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600