Re: Apache2 er gået amok

[Flemming Bjerke <bjerke@polforsk.dk>]

Friday 25 August 2006 10:09 skrev Sune Vuorela:
> On 2006-08-25, Jacob Sparre Andersen <sparre@nbi.dk> wrote:
> >> S?rbarheden skyldes debian stable rewrite/proxy moduler=20
> >> idet debian stable k?rer med apache 2.0.54-5sarge1 mens=20
> >> f?rst 2.0.55 er fixet:
> >
> > Det lyder s=E6rt.  Er du opm=E6rksom p=E5 at Debian normalt=20
> > hellere kopierer rettelser af sikkerhedsfejl tilbage til en=20
> > kendt stabil udgave?
>
> Jep. Sikkerhedsrettelser bliver tilbageført til den stabile udgave.
> Debian stable skal helst have så få og så små ændringer som muligt.
>
> Fra changeloggen fra apache2 2.0.24-5sarge1:
>
> apache2 (2.0.54-5sarge1) stable-security; urgency=high
....
>   * Add 044_content_length_CAN-2005-2088, resolving an issue in mod_proxy
>     where, when a response contains both Transfer-Encoding and
> Content-Length headers, the connection can be used for HTTP request
> smuggling and HTTP request spoofing attacks; see CAN-2005-2088 (closes:
> #316173)
...
> Læg mærke til at de to CVE'er du skriver om er rettet ved upload af -5.
> (se de to første punkter af den changelog)
Ja, det har jeg godt set. Men hvad er der så på færde? (Ja, jeg er ikke 
overbevist om at buggen er fixet?) 
1. Så snart jeg starter apache går det galt.
2. Jeg har deaktiveret alle former for skripts og skåret helt ned til benet i 
konfigurationen. Jf. min anden mail.
3. Jeg har chekket for alle skripts med www-data som bruger, og www-data har 
ingen cronjobs. 
4. Jeg har chekket for rootkits med chrootkit.

Flemming