В http-сервере Apache выявлена уязвимость (CVE-2017-9798), которая опубликована под кодовым именем Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга. Для тестирования подверженности своих систем проблеме подготовлен прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запроса OPTIONS отдаётся содержимое уже освобождённого блока памяти, в котором могут находиться конфиденциальные данные от выполнения прошлых запросов. Несмотря на специфичные условия проявления проблемы
На сайте с информацией о взломе Equifax, в результате которого произошла утечка персональных данных 44% населения США, появилось подтверждение сведений, что для атаки была применена уязвимость CVE-2017-5638. Данная уязвимость была устранена в мартовском обновлении Apache Struts, в то время как атака на Equifax была проведена с мая по июль, т.е. причиной взлома стала халатность персонала, которые не установили обновление с исправлением критической уязвимости. Примечательно, что в аргентинском отделении Equifax выявлена ещё более знаковая оплошность - оказалось, что на портал для сотрудников Equifax, предназначенный для управления кредитными спорами, можно было войти при помощи логина/пароля admin/admin. Воспользовавшись данной учётной записью исследователям удалось получить персональные данные о всех сотрудниках аргентинского отделения и сведения о более 14 тысячах кредитных спорах, в которых приведены персональные данные получателей кредитов (в том числе номера телефонов и DNI). Более того, были получены
Исследователи безопасности из компании Cisco предупредили о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com. Кроме того, сообщается о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager, Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise, Cisco Unified Intelligent Contact Management Enterprise и Cisco Network Performance Analysis. В процессе анализа находятся продукты, в которых имеются подозрения на проявление уязвимости: Cisco Unified MeetingPlace
Опубликовано обновление web-фреймворка Apache Struts 2.5.13, применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. Apache Struts в основном распространён для создания корпоративных web-приложений. В состав выпуска включено исправление критической уязвимости (CVE-2017-9805), позволяющей выполнить код на стороне сервера. Уязвимость проявляется при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяются по умолчанию). Проблема пока остаётся неисправленной в дистрибутивах Debian, EPEL-7, Ubuntu (в SUSE, Fedora и RHEL Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST.
Компания Facebook сообщила, что не имеет возможности отказаться от применяемой ныне лицензии BSD с дополнительным соглашением об использовании патентов ("BSD+Patent"). Представители Facebook пояснили, что отказ от текущего текста приложения о патентах приведёт к ослаблению защиты от патентных троллей и увеличению ресурсов, которые придётся тратить на отражение необоснованных патентных исков. Напомним, что в прошлом месяце Фонд Apache добавил "BSD+Patent" в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. До 31 августа проектам Apache предписано избавиться от зависимостей под лицензией "BSD+Patent", таких как JavaScript-фреймворк React, применяемый в том числе в Apache CouchDB. Как вариант выхода из сложившейся ситуации Facebook было предложено перелицензировать код React под более современной лицензией Apache 2.0, которая близка к используемой в Facebook связке и включает пункты для минимизации рисков от патентных исков (лицензия отзывается в случае патентного
Администраторы ресурсов, использующих имена хостов с символом подчёркивания, столкнулись с проблемами, проявляющимися в новых выпусках systemd и Apache httpd, и вызванными неоднозначной трактовкой требований к именам в DNS. В соответствии с RFC 1123 в DNS запрещено использовать символ подчёркивания в именах хостов, но разрешено в именах меток. Т.е. в записях типа "A" и "MX", а также в содержимом полей "SOA" и "NS", символы подчёркивания недопускаются, но, в соответствии с RFC-2782, разрешены во вспомогательных полях, подобных "TXT" и "SRV", что активно используется, например, в системе DomainKeys. Обычно клиентское и серверное ПО достаточно лояльно относится к символу "_" в именах хостов, не требуя жесткого следования RFC, поэтому в обиходе часто встречаются поддомены с символом подчёркивания, например, в популярном на западе сервисе доставки видео Netflix используются имена подобные "ipv6_1-cxl0-c088.1.lhr004.ix.nflxvideo.net", а проект Fedora использует хост "_443._tcp.fedoraproject.org". Проблемы
Комитет по правовым вопросам Фонда Apache принял решение запретить использование в проектах Apache кода, поставляемого под лицензией BSD с дополнительным соглашением по использованию патентов ("BSD+Patent"), используемой в открытых проектах Facebook. Проектам Apache которые уже используют зависимости, распространяемые под связкой "BSD+Patent", введение запрета отложено до 31 августа, чтобы дать время на переработку кода. Из других лицензий, входящих в список запрещённых для проектов Apache, можно отметить GPL, AGPL, LGPL и BSD-4-Clause. Лицензия Facebook BSD+Patent признана недопустимой из-за несбалансированного перекладывания рисков для потребителей продуктов под данной лицензией. В лицензии наблюдается дисбаланс в пользу лицензодателя, а не лицензиата, что нарушает принятые в Фонде Apache правила. При этом по своим задачам связка "BSD+Patent" мало чем отличается от лицензии Apache 2.0 и также нацелена на предоставлении доступа к технологиям, пересекающимися с зарегистрированными патентами и минимизации
Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 3.3.0, который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление. В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017-7681), осущестивить вставку JavaScript-кода в чат (CVE-2017-7663), провести CSRF- и XSS-атаки (CVE-2017-7666). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017-7673). Отсутствовала проверка загружаемых документов XML (CVE-2017-7664). Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, возможность сохранения резервных копий в формате zip, расширенные
Представлен релиз HTTP-сервера Apache 2.4.27, в котором представлено 8 изменения, из которых половина связана с решением проблем с нарушением совместимости. В частности, отключена поддержка HTTP/2 при использовании Prefork MPM, обеспечена совместимость FastCGI c PHP-FPM (возобновлено поведение версии 2.4.20), отключен экспорт недокументированной переменной 'apr_table' в mod_lua, улучшена совместимость mod_lua с Lua 5.1, 5.2 и 5.3. Кроме того, увеличена производительность и снижено потребление памяти в mod_http2, возобновлена поддержка полей из одного символа, устранено дублирование метода HEAD в заголовке Allow. Также доступны новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.12.1 и 1.13.3, в которых устранена уязвимость CVE-2017-7529. При помощи отправки специально оформленного запроса злоумышленник может вызвать целочисленное переполнение и некорректную обработку диапазонов в range-фильтре. При использовании штатного набора модулей уязвимость потенциально может
Доступен релиз HTTP-сервера Apache 2.4.26, в котором представлено 63 изменения, 22 из которых связаны с исправлениями в модуле mod_http2. Из изменений можно отметить: C модуля mod_http2 снята мета экспериментальной функции, реализация протокола HTTP/2 отныне признана готовой для повсеместного применения; Добавлен новый модуль mod_brotli для сжатия с использованием алгоритма Brotli (RFC 7932); В файле конфигурации обеспечено выполнение вложенных блоков If/ElseIf/Else; В mod_lua добавлена поддержка Lua 5.3; Изменено поведение mod_rewrite: если подстановка является полным URL, а схема/хост/порт совпадают с текущим виртуальным хостом, то компонент пути в URL больше не интерпретируется как локальны путь, если он присутствует в файловой системе. Для возвращения старого поведения добавлена опция "RewriteOption LegacyPrefixDocRoot"; В mod_rewrite добавлен флаг 'BNP' (backreferences-no-plus), включающий замену пробелов в обратных ссылках RewriteRule на "%20" вместо "+"; В mod_rewrite добавлена