توسعه دهندگان آپاچی از این مشكل آگاه شده و در حال بررسی روشهایی برای اصلاح آسیب پذیری مذكور هستند
کشف نقص امنیتی اصلاح نشده در سرور آپاچی
پورتال ماهر , 16 آذر 1390 ساعت 15:05
توسعه دهندگان آپاچی از این مشكل آگاه شده و در حال بررسی روشهایی برای اصلاح آسیب پذیری مذكور هستند
یك نقص امنیتی اصلاح نشده در سرور آپاچی به مهاجمان اجازه دسترسی به منابع محافظت شده در شبكه داخلی را می دهد.
به گزارش افتانا، یك نقص امنیتی در سرور HTTP آپاچی كشف شده است كه به مهاجمان اجازه دسترسی به منابع محافظت شده در شبكه داخلی را در صورتی كه برخی قوانین بازنویسی(rewrite) به خوبی تعریف نشده باشند، می دهد.
این آسیب پذیری بر روی آن دسته از سیستم های آپاچی تأثیر می گذارد كه در حالت پراكسی وارونه هستند، كه در واقع نوعی از تنظیمات برای تنظیم كردن بار شبكه، ذخیره سازی سریع (caching) و دیگر عملیات هایی است كه مربوط به توزیع منابع بر روی چندین سرور است.
مدیران شبكه از ماژول های خاصی مانند mod_proxy و mod_rewrite برای تنظیم كردن Apache HTTPD استفاده می كنند تا به صورت پراكسی وارونه كار كند.
متخصصان امنیتی از Qualys هشدار می دهند، در صورتی كه قوانین مشخصی به درستی تنظیم نشوند، مهاجمان این فرصت را پیدا می كنند تا سرورها را فریب داده و درخواست های تأیید نشده ای را برای دسترسی به منابع ارسال كنند.
یك متخصص امنیتی كه این حفره امنیتی را كشف كرده، روشی را برای كاهش خطر به مدیران شبكه پیشنهاد می دهد. وی از آنها خواسته است تا یك "/" را قبل از "$۱" در دستور بازنویسی قرار دهند. شكل صحیح این قانون به صورت زیر است:
"^(.*) http://internal_host/$۱"
توسعه دهندگان آپاچی از این مشكل آگاه شده و در حال بررسی روشهایی برای اصلاح آسیب پذیری مذكور هستند.
کد مطلب: 150