باگ و حفره امنیتی در وب سرور آپاچی
صفحات وضعیت می توانند منابع بسیار ارزشمندی برای مدیران سرور هستند درنتیجه افشای اطلاعات آن می تواند به هکرها کمک کند تا برای حملات خود بهتر برنامه ریزی نمایند.
بسیاری از وب سرور های آپاچی از جمله آن هایی که میزبان برخی وب سایت های محبوب می باشند، اطلاعاتی درباره ساختار داخلی سایت هایی که میزبانی می کنند،
آدرس های IP بازدیدکنندگان، منابعی که کاربر به آن ها دسترسی دارد و سایر جزئیات حساس بالقوه را افشا می کنند زیرا صفحات وضعیت آن ها محافظت نمی شوند.
ماژول mod_status آپاچی یک صفحه “server status” را تولید می کند که حاوی اطلاعاتی درباره CPU سرور و بار حافظه و هم چنین جزئیاتی درباره درخواست های کاربران شامل مسیرهای فایل های داخلی و آدرس های IP می باشد.
Daniel Cid، مدیر شرکت امنیتی Sucuri گفت: از آن جایی که این صفحات می توانند منابع ارزشمندی برای مدیران سرور باشند، افشای اطلاعات آن می تواند به هکرها کمک کند تا برای حملات خود بهتر برنامه ریزی نمایند.
محققان Sucuri آزمایشی را انجام دادند که بیش از ۱۰ میلیون وب سایت را در بر می گرفت و دریافتند که ۱۰۰ وب سایت، صفحات وضعیت سرور را افشاء کرده اند. فهرست وب سایت های آلوده شده شامل php.net، metacafe.com، disney.go.com، staples.com، nba.com، cisco.com، ford.com، apache.org و وب سایت های دیگر می باشد. پس از گزارش Sucuri برخی از آن ها این مشکل را برطرف کردند اما برخی دیگر هنوز این مشکل را برطرف نکردند.
در نگاه اول، راه حل ساده به نظر می رسد: به منظور محدود کردن دسترسی به مسیر /server-status، دستورالعمل های کنترل دسترسی را به فایل پیکربندی سرور اضافه کرده و تنها به آدرس های IP اجازه دسترسی داده که نیاز به دسترسی به این صفحات را دارند. با این حال مدیران سرور باید پیکربندی کل زیرساخت وب را در نظر بگیرند زیرا ممکن است در برخی از موارد دستورالعمل های کنترل دسترسی آپاچی سهوا نادیده گرفته شوند.
شرکت های بزرگ باید سرورهای ذخیره سازی وب را راه اندازی نمایند. هرچند در اینگونه مواقع اگر قوانین کنترل دسترسی آپاچی برای /server-status به کل IP های شبکه داخلی اجازه دسترسی دهد، همان مشکل اتفاق خواهد افتاد.