Союз Журналистов
 / Новости / 05.09.2001
Нетоскоп
Новости

Новости
АВГУСТ СЕНТЯБРЬ ОКТЯБРЬ
ПН ВТ СР ЧТ ПТ СБ ВС
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
2000 год 2001 2002 год

Союз Журналистов

Разделы

Дыра в модулях аутентификации для Apache позволяет красть пароли
Алексей Андреев

5.09.2001 18:36

версия для печати

Специалисты из центра компьютерной безопасности Штутгартского университета (RUS-CERT) обнаружили слабое место в некоторых модулях аутентификации для серверов Apache.

Указанные модули используются в качестве дополнительного средства, позволяющего системным администраторам упростить механизм идентификации пользователей на сервере. Модули добавляют к идентификационному механизму Apache возможность сверять пароли пользователей по реляционной базе данных на основе SQL-запросов (вместо того, чтобы хранить имена и пароли для каждого пользователя в отдельных файлах).

При этом некоторые из таких модулей оставляют возможность атаковать систему с помощью вредоносного SQL-запроса и таким образом получить из базы персональные данные пользователей, или даже получить неавторизованный доступ к серверу.

Специалисты RUS-CERT нашли подобную уязвимость в следующих модулях аутентификации (хотя и предупреждают, что это, возможно, не все) -

AuthPG 1.2b2
mod_auth_mysql 1.9
mod_auth_oracle 0.5.1
mod_auth_pgsql 0.9.5
mod_auth_pgsql_sys 0.9.4

Обычно программисты, создавая такие модули, вставляют в них дополнительный механизм проверки запроса на наличие "вредных" последовательностей управляющих символов. Однако в указанных модулях такая проверка не проводится. Дело осложняется тем, что с различными базами данных (Oracle, MySQL и PostgreSQL) найденная "дыра" работает по-разному.

Во вторник RUS-CERT выпустил патч для PostgreSQL, который отлавливает вредоносные запросы. В отчете об уязвимых модулях аутентификации также предлагаются другие версии этих модулей, в которых "дыра" уже зашита.

ССЫЛКИ ПО ТЕМЕ
Vulnerabilities in several Apache authentication modules - RUS-CERT, 29.08.01

МАТЕРИАЛЫ ПО ТЕМЕ
Демография серверов: побеждают "Апачи" и Windows - 06.07.01
88 процентов сисадминов Рунета используют бесплатное программное обеспечение - 21.12.00


Союз Журналистов

ПРЕСС-РЕЛИЗЫ
Yellow NewsPillow
Возрождение легендарной NewsPillow

АИСТ
Стартует дилерская программа ASP-сервиса SiteManager для веб-студий

Caravan
Караван отменяет все регистрационные платежи на виртуальном хостинге и на размещение физических серверов (Colocation)

Экспресс-Интернет
Система управления сайтом для Веб-студий, а не для Владельцев сайтов. Экспресс-Интернет.

"Логика Бизнеса"
Мария Каменнова вошла в TOP-100 отечественной ИТ-индустрии

Copyright © 2000-2002 Нетоскоп
Информация о сайте