2012年11月7日 星期三

不當設定可能讓Apache伺服器資訊外洩


不當設定可能讓Apache伺服器資訊外洩

Apache網頁伺服器含有一個伺服器狀態模組mod_status,允許網管人員透過該模組觀看伺服器的各種狀態,然而這個功能卻很可能讓網站狀態資訊曝露於公開的網路上,造成安全隱憂。 

資安公司Sucuri技術長Daniel Cid在搜尋十萬個網站後發現,超過2072個網站因不當的設定Apache網頁伺服器,讓網站系統內部資料可能外洩,可能協助駭客在攻擊前取得必要的資訊。

Apache網頁伺服器含有一個相當好用的伺服器狀態模組mod_status,允許網管人員觀看伺服器的各種狀態。基本上這是一個HTML網頁,可以顯示包含中央處理器及記憶體負荷、哪些使用者連線到伺服器、哪些檔案使用中等等,詳細資料包含使用者連線時所用的IP、連線所使用的連結。

然而這個功能卻很可能讓網站狀態資訊曝露於公開的網路上,造成安全隱憂。Daniel Cid表示,受影響的包含php.net,metacafe.com,disney.go.com,staples.com,nba.com,cisco.com,ford.com,apache.org等著名網站,台灣地區的網站則有she.com.tw、eastlife.tw等。部分網站已經修正設定,但仍有許多網站未修正,將這些重要訊息公布在網路上。

他表示,在staples.com可以看到所有的訂單及連結的IP位址,在NBA.com及Ford.com可以查看內部連結及虛擬主機的對映關係,甚至有的網站可以找出未經保護的網站控制面板。心懷不軌的人可以透過該模組在攻擊前搜集到必要的資料,而網站控制面板可能讓駭客完成複雜的攻擊。

雖然表面上只要限制該模組可以連結的IP或停止使用該模組等方式,就可以避免網站重要資訊外洩。但專家提醒網管人員,由於Apache部分機制會忽略該設定,因此網管人員應該謹慎檢視整個網站的架構與設定來避免此問題。

例如快取伺服器可能在可用的IP位址範圍之內,這樣外部人員就可能透過快取伺服器而連結相關網頁。部分規模較小的網站將網頁伺服器與網頁快取伺服器放在同一個機器內,或者在同一個內部IP網段,都很容易產生這種狀況。(編譯/沈經)

轉載自《iThome》

沒有留言:

張貼留言