Portada
mis comunidades
otras secciones
#10:
#0 #1 #2 #3 #4 que yo sepa ese modulo viene activado pero si no se le añaden estas lineas al httpd.conf del apache no es posible acceder al /server-status
Enabling Status Support
To enable status reports only for browsers from the example.com domain add this code to your httpd.conf configuration file
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from .example.com
http://httpd.apache.org/docs/2.2/mod/mod_status.html
Enabling Status Support
To enable status reports only for browsers from the example.com domain add this code to your httpd.conf configuration file
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from .example.com
http://httpd.apache.org/docs/2.2/mod/mod_status.html
#11:
Las configuraciones de Apache son modificadas por los mantenedores de los paquetes; pudiendo estar mod_status, cargado o descargado, configurado o sin configurar. Por tanto hablar de "la configuración de Apache" no tiene mucho sentido, porque ni es única, ni tan siquiera uniforme entre mantenedores.
Por ejemplo, en CentOS/RHEL, por defecto, mod_status está cargado como módulo pero su configuración está deshabilitada. Es necesario, expresamente, definir la configuración para que funcione. De tal forma, esta vulnerabilidad / error de configuración no es explotable.
En cambio, en Ubuntu, por defecto, el módulo está cargado y la configuración permitida para localhost (127.0.0.1). De tal forma que acceder a http://127.0.0.1/server-status mostrará información sensible sobre las conexiones en curso.
Y por ello, si hay un proxy levantado que recibe peticiones (p.ej. TOR) y en vez de reenviar a la IP local de eth o wlan, las envía a lo (que es muy común) remotamente se podrá acceder a la información de mod_status y obtener información sobre las conexiones en curso.
Por ejemplo, en CentOS/RHEL, por defecto, mod_status está cargado como módulo pero su configuración está deshabilitada. Es necesario, expresamente, definir la configuración para que funcione. De tal forma, esta vulnerabilidad / error de configuración no es explotable.
En cambio, en Ubuntu, por defecto, el módulo está cargado y la configuración permitida para localhost (127.0.0.1). De tal forma que acceder a http://127.0.0.1/server-status mostrará información sensible sobre las conexiones en curso.
Y por ello, si hay un proxy levantado que recibe peticiones (p.ej. TOR) y en vez de reenviar a la IP local de eth o wlan, las envía a lo (que es muy común) remotamente se podrá acceder a la información de mod_status y obtener información sobre las conexiones en curso.
#2:
...es un error de configuración entonces, no un agujero de seguridad como dice la noticia
Comentarios
Las configuraciones de Apache son modificadas por los mantenedores de los paquetes; pudiendo estar mod_status, cargado o descargado, configurado o sin configurar. Por tanto hablar de "la configuración de Apache" no tiene mucho sentido, porque ni es única, ni tan siquiera uniforme entre mantenedores.
Por ejemplo, en CentOS/RHEL, por defecto, mod_status está cargado como módulo pero su configuración está deshabilitada. Es necesario, expresamente, definir la configuración para que funcione. De tal forma, esta vulnerabilidad / error de configuración no es explotable.
En cambio, en Ubuntu, por defecto, el módulo está cargado y la configuración permitida para localhost (127.0.0.1). De tal forma que acceder a http://127.0.0.1/server-status mostrará información sensible sobre las conexiones en curso.
Y por ello, si hay un proxy levantado que recibe peticiones (p.ej. TOR) y en vez de reenviar a la IP local de eth o wlan, las envía a lo (que es muy común) remotamente se podrá acceder a la información de mod_status y obtener información sobre las conexiones en curso.
...es un error de configuración entonces, no un agujero de seguridad como dice la noticia
#0 #1 #2 #3 #4 que yo sepa ese modulo viene activado pero si no se le añaden estas lineas al httpd.conf del apache no es posible acceder al /server-status
Enabling Status Support
To enable status reports only for browsers from the example.com domain add this code to your httpd.conf configuration file
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from .example.com
http://httpd.apache.org/docs/2.2/mod/mod_status.html
#10 Acabo de probar, y desde localhost si hay una página llamada server-status
#12 con el Apache recién instalado y sin tocar nada? yo tengo varios en el curro y no es posible entrar, es el Apache del Redhat 6, a lo mejor lo tienen quitado adrede los de Redhat
#13 Exacto. Ojo que entre por SSH y accedí a través de un navegador por consola, usando http://127.0.0.1/server-status
#14 Pues esto es lo que me sale a mi con una instalación por defecto en un redhat 6, he probado por dns, por 127.0.0.1 y por localhost con el mismo resultado. Como se puede ver el Apache responde pero con un 404 Not Found
#15 Pues a modo de prueba, vete a una página de web-proxies, y prueba a entrar en la página a traves del propio proxy. Con ubuntu viene por defecto, aparentemente.
Ves la gente que está conectada, si es grave, si.
#16 Si te creo, por eso me da que en Redhat se ha personalizado la instalación del apache para que no lo muestre por defecto, en cualquier caso es simplemente revisar que no estén las lineas que yo he puesto y mejor si se desactiva el modulo de mod_status y ojo que en la version 2.4 lo acabo de mirar y son otras lineas, las que yo puse antes son para la 2.2
#15 en apache2.conf
SetHandler server-status
Order Deny,Allow
Deny from all
Un workarround para deshabilitarlo. Confirmo que en Ubuntu Server viene activado por defecto.
Edito: es lo que pasteaste antes!!
#18 Gracias por la info, como comentaba antes en Redhat yo confirmo que NO viene activado
#5 El titular dice: "podría revelar detalles del tráfico en Tor". No te dejes palabras sin leer porque pueden ser imporantes.
El último salto en Tor parece que se hace desde la maquina local. Así que si este módulo está activado en un servidor que esté en .onion, apache no podrá distinguir si la gente viene de local o de fuera y les servirá el server-status a todos, aunque hayas configurado que solo se lo sirva a los locales.
Dado que lo que interesa a los servidores que usan Tor es ser anónimos, tienen que tener en cuenta que apache en su configuración por defecto canta todo lo que sabe a la mínima. Y la moraleja es que, uses o no uses Tor, hay que tener cuidado incluso con las conexiones locales porque te las puede estar haciendo quien menos te lo esperas.
Aclaro porque solo con esta noticia no se entiende el problema.
Por defecto solo se puede acceder en el servidor mismo, pero se ve que tor reenvia las conexiones a traves de un proxy a apache (en la misma maquina) por lo que llegan desde localhost y por lo tanto se puede acceder desde internet. Se puede desactivar en un momento pero hay que pensar en ello.
#1 Y es por eso que la inmensa mayoría de sitios TOR usan nginx o lighttpd
Por defecto el módulo TOR envía las peticiones al webserver desde 127.0.0.1
#8 yo en nginx tb activo el server-status para acceder desde localhost (y sacar stats y darle de comer a un graphite o un ganglia o lo que sea)
#1 Ya... Pero me puse a jugar con un varnish en un servidor y resulta que la **** página de status funciona, porque apache ve la petición desde localhost. Ahora toca configurar un server a las 2 de la mañana...
Y gracias a la noticia, que si no se me queda ahí el agujero.
#26 la noticia está redactada como el culo y se merece un sensacionalista a tope. Lo que creo quieren decir es que, tal y como dice #1, al pasar por un proxy antes la petición (en este caso, el daemon de tor) por defecto en muchas distribuciones el server-status de Apache queda expuesto, y que con la información que sale ahí (basicamente IP de los clientes, nombres de los vhost INTERNOS de apache después de pasar por el proxy tor) se pueda llegar a saber la identidad o la locación del servidor tor.
El blog (en inglés) de donde salió todo el copy/paste de noticias sobre este problema:
https://wireflaw.net/blog/apache-hidden-service-vuln.html
Poned "http://127.0.0.1/server-status/" no como dice la entrada URL “http://website.com/server-status/” en ubuntu sale la web... y si entras desde un dominio te pone que no tienes permiso para verlo... si como dicen tor usa 127.0.0.1 como host... estan jodidos los que tengan un server apache en tor....
Yo tengo apache y uso la configuración por defecto, ya que no tengo ni idea y esa url no me va..., #27 debe de tener razón
#7 La cuestión es que suelta información que no debería en un sistama critico con la privacidad. Y en ningun sitio dice que es un problema chungo, eso te lo has inventado al igual que el porcentaje, de hecho dado que todavía se supone que no esta explotado no se preocupan, pero que es algo a tener en cuenta.
El error es dejar el apache (o el server que sea) con la configuración por defecto.
#5 Podria ser un problema de seguridad si se explota y se engaña al servidor y de eso se habla.
#6 Y que porcentaje tiene eso que se produzca? un 0.0001%!!
Pos vale, votemos que es un super problema chungo de mil demonios, después podemós correr con las manos arriba en circulos.
¿Alguien mas ha probado con la propia menéame?
Estoy por votar errónea, lo he probado en varios servidores con apache (dos debian y tres centos) y nada (cebolla up)
Eso de configuración por defecto.... pos, pami que se refieren a configuración instalada por default, y aún así creo que es una cosa muuuuy específica.
#3 Seguramente estes probando remotamente aunque sea IP interna, tiene que ser desde el propio servidor. Probado con ubuntu y si aparece info.
Lo de configuración por defecto dado que es un modulo, sera cargando los modulos por defecto.
#4 Si es desde el propio servidor y local, que mierda es??, vamos, ni noticia entonces.
Errónea, ese módulo no viene configurado/habilitado por defecto o al menos depende del paquete que tenga la distro.
Además, no se accede a través de la ruta que dicen, seria http://hostname/server-status
Luego, aunque esa información sea visible y la gestione un sysadmin, que para eso está este módulo, aparecerá la información de tu último nodo de Tor y no tu información real.
O yo no entiendo la noticia o no la entiende quien la ha redactado.
Pues en sistemas basados en Debian ( Debian, Ubuntu, Mint, ... ):
a2dismod server-status
service apache2 restart