شماره: IRCNE2012111664
تاريخ:15/08/91
بسياري از سرورهاي وب آپاچي از جمله آن هايي كه ميزبان برخي وب سايت هاي محبوب مي باشند، اطلاعاتي درباره ساختار داخلي سايت هايي كه ميزباني مي كنند، آدرس هاي IP بازديدكنندگان، منابعي كه كاربر به آن ها دسترسي دارد و ساير جزئيات حساس بالقوه را افشاء مي كنند زيرا صفحات وضعيت آن ها محافظت نمي شوند.
ماژول mod_status آپاچي يك صفحه "server status" را توليد مي كند كه حاوي اطلاعاتي درباره CPU سرور و بار حافظه و هم چنين جزئياتي درباره درخواست هاي كاربران شامل مسيرهاي فايل هاي داخلي و آدرس هاي IP مي باشد.
Daniel Cid، مدير شركت امنيتي Sucuri گفت: از آن جايي كه اين صفحات مي توانند منابع ارزشمندي براي مديران سرور باشند، افشاي اطلاعات آن مي تواند به هكرها كمك كند تا براي حملات خود بهتر برنامه ريزي نمايند.
محققان Sucuri آزمايشي را انجام دادند كه بيش از 10 ميليون وب سايت را در بر مي گرفت و دريافتند كه 100 وب سايت، صفحات وضعيت سرور را افشاء كرده اند. فهرست وب سايت هاي آلوده شده شامل php.net، metacafe.com، disney.go.com، staples.com، nba.com، cisco.com، ford.com، apache.org و وب سايت هاي ديگر مي باشد. پس از گزارش Sucuri برخي از آن ها اين مشكل را برطرف كردند اما برخي ديگر هنوز اين مشكل را برطرف نكردند.
در نگاه اول، راه حل ساده به نظر مي رسد: به منظور محدود كردن دسترسي به مسير /server-status، دستورالعمل هاي كنترل دسترسي را به فايل پيكربندي سرور اضافه كرده و تنها به آدرس هاي IP اجازه دسترسي داده كه نياز به دسترسي به اين صفحات را دارند. با اين حال مديران سرور بايد پيكربندي كل زيرساخت وب را در نظر بگيرند زيرا ممكن است در برخي از موارد دستورالعمل هاي كنترل دسترسي آپاچي سهوا ناديده گرفته شوند.
شركت هاي بزرگ بايد سرورهاي ذخيره سازي وب را راه اندازي نمايند. هرچند در اينگونه مواقع اگر قوانين كنترل دسترسي آپاچي براي /server-status به كل IP هاي شبكه داخلي اجازه دسترسي دهد، همان مشكل اتفاق خواهد افتاد.
- 5