Wersja 2.2.15 wydawanego przez Apache Software Foundation serwera HTTP koryguje liczne błędy i naprawia trzy luki w zabezpieczeniach. Oprócz tego nowe wydanie umożliwia ponowne włączenie uważanego za niebezpieczny wariantu renegocjacji TLS dla klientów, które nie obsługują jeszcze Renegotiation Indication Extension (RFC 5746).

Zespół IETF uzupełnił protokół TLS (RFC 5246) o rozszerzenie TLS renegotiation_info. Ma ono zapisywać informacje o połączeniu istotne z punktu widzenia zadań kryptograficznych, aby w ten sposób umożliwić jednoznaczne przyporządkowanie wywołania klienta przed renegocjacją TLS do wywołania odbywającego się po tej operacji. W wydanej pod koniec lutego wersji OpenSSL oznaczonej jako 0.9.8m, TLS Renegotiation Indication Extension zostało już zaimplementowane, w wyniku czego napastnik nie jest już w stanie przemycić własnych pakietów do połączenia zabezpieczanego za pomocą SSL i manipulować działaniem serwisów internetowych. Dotychczasowe mechanizmy przewidywały całkowite blokowanie renegocjacji TLS. Aby aktywować ryzykowną renegocjację za pomocą klauzuli SSLInsecureRenegotiation, serwer sieciowy Apache musi jednak być skompilowany z biblioteką OpenSSL w wersji 0.9.8m.

Problemy

Załatane luki w zabezpieczeniach dotyczą problemów w modułach mod_proxy_ajp i Multi-Processing Module (MPM), w wyniku których spreparowane pakiety powodują krótkie zakłócenia w prawidłowym funkcjonowaniu usługi; mogło też dochodzić do przetwarzania wywołań klientów przez nieprawidłowe wątki.

Szczególne zainteresowanie budzi zaklasyfikowana jako krytyczna luka w module mod_isapi dla windowsowej wersji Apache'a. Internet Server API (ISAPI) to interfejs programistyczny Microsoftu; moduł pozwala serwerowi Apache na uruchamianie aplikacji, które są napisane z myślą o IIS. Według informacji o błędzie specjalne wywołania skierowane do serwera prowadzą do tego, że moduł wyładowuje się z pamięci, zanim jeszcze w pełni zakończy obsługę wywołania klienta. To może prowadzić do próby użycia wskaźników (pointer) kierujących do zwolnionych obszarów pamięci, co z kolei daje się wykorzystać do zdalnego uruchomienia wcześniej przemyconego programu z systemowymi uprawnieniami.

Zagrożenie

Zajmująca się zabezpieczeniami firma Sense of Security opublikowała exploit, który w systemie Windows zapisuje plik sos.txt – przygotowany klip wideo (MP4) pokazuje poza tym, w jaki sposób ten błąd może być wykorzystany do powiązania powłoki z portem TCP o numerze 4444.

Rozwiązanie

Instalacja najnowszego wydania eliminuje opisywane problemy. Administratorzy powinni zainstalować nową wersję Apache tak szybko, jak to tylko możliwe.

Zobacz także

• Apache 2.2.14 mod_isapi Dangling Pointer, informacja Sense of Security
• Słaby punkt w projekcie protokołu SSL/TLS: szansa rozwiązania problemu, heise Security
• OpenSSL naprawia lukę w TLS, heise Security
• Kradzież haseł za sprawą luki w protokole SSL/TLS, heise Security
• Luka w protokole SSL/TLS, heise Security

(pwi)