apacheのゼロデイ不具合から考える話
皆さん!10/08はいかがお過ごしでしたでしょうか?
うん、「Apache HTTP Server におけるディレクトリトラバーサルの脆弱性」の発表…
https://jvn.jp/jp/JVN51106450/
はっきり言って地獄ですねw
言わずもがなですが、Apache Http Serverといえばhttpサーバのデファクトスタンダードですw
apache、apacheって言いすぎてapache http server ってなんだっけ?とか思うほどですw
んで、脆弱性情報を見ると…
Apache HTTP Server 2.4.49 および 2.4.50
https://jvn.jp/jp/JVN51106450/
対応方法は…
アップデートする
https://jvn.jp/jp/JVN51106450/
開発者が提供する情報をもとに、最新版へアップデートしてください。
現在でしたら、Apache httpd 2.4.51 Released以降ですねw
やったね、うちは2.2だから大丈夫!
とか言うイカれた管理者の人に朗報です
Apache httpd 2.2 End-of-Life 2018-01-01
https://httpd.apache.org/
As previously announced, the Apache HTTP Server Project has discontinued all development and patch review of the 2.2.x series of releases.
The Apache HTTP Server Project had long committed to provide maintenance releases of the 2.2.x flavor through June of 2017. The final release 2.2.34 was published in July 2017, and no further evaluation of bug reports or security risks will be considered or published for 2.2.x releases.
はい、EOF過ぎているから… 修正はありませんw
つまりはこの脆弱性は修正されません!パチパチパチ
今回の攻撃を考えると、非公開にいている部分に保存している部分がアクセス可能なようですね
そこに、プログラムを仕込んでおけば…. ま、好きにできますねw
さてさてさて、最近ホワイトハッカー学科とかある専門学校がありますが、そのあたりってこの部分がポイントでしょうね
- ハッカー(クラッカー)はこの脆弱性事態を見つけて攻撃します
- ホワイトハッカーはこの脆弱性を見つけて、修復します
見つける努力ってのがポイントでしょう
簡単な対応をまとめますと
- ホワイトハッカー or 攻撃食らった主は脆弱性連絡先に連絡します
- Certとかから、まともな管理者は見つけて、アップグレード(or パッチ)を対応します
- まともじゃない管理者は、ニュースになったら、アップグレードを対応します
- もっとまともじゃない管理者はニュースを見ても対応しません
- もっともっとイカれた管理者はニュースで見ても被害が出ないと対応しませんw
うん… 正直日本の場合はまともな管理者ははんこをもらうためにセキュリティホールを待つんでしょうねw
ホワイトハッカーというのでしたら、
- はんこ貰う前に攻撃パターンを解析してUTMとかにパケットフィルタを仕込んどく
- ゼロデイ以外はパッチを作る
その程度はほしいレベルでしょうね…
CentOS 6.10 Finalだったら?とか言う微妙なチェック
んで、気になったのですが、みんな大好きCentOS 6.10 final LTS (2020年11月30日没)の場合はどうなるんでしょうか?
ローカルで確認してみましょう!VirtualBoxに新品をインストール!… ISO手に入れるのがめんどくさいですがw
webサーバでインストールすると入れたままでは
# httpd -v
2.2.15
yum updateして… とか考えて…
yum update… mirrorlist.centos.orgはもうないですねw
vault.centos.orgに変更…
yum update
# httpd -V
Server version: Apache/2.2.15 (Unix)
だなw
ソースをコンパイルして… チェックするのめんどくさいw
yum程度でがんばるならOS変えるのが楽です