Fallo en mod_proxy Apache 2.x


Se ha publicado un fallo en el módulo 'mod_proxy' de Apache 2.x que podría permitir a un atacante obtener información sobre la red interna detrás de un servidor vulnerable.





'mod_proxy' es un módulo de Apache que desempeña la función de un proxy/gateway, permitiendo configuraciones 'forward' y 'reverse'.

La configuración 'forward proxy' actúa de intermediario entre el cliente y el servidor, y requiere que el cliente esté debidamente configurado para utilizarlo. El uso más común de este tipo de configuración es proporcionar acceso a Internet a usuarios que se encuentran en una intranet protegida por un cortafuegos.

Por otro lado, la configuración 'reverse proxy' es totalmente transparente al usuario, por lo que éste no necesita realizar ningún tipo de configuración especial. El uso típico de esta configuración es permitir a usuarios de Internet el acceso a servidores alojados tras un cortafuegos.

Sin embargo existe un fallo en el módulo 'mod_proxy', al utilizar las directivas 'RewriteRule' y 'ProxyPassMatch' para configurar un servidor Apache en modo 'reverse proxy' mediante coincidencias depatrones. Esto puede provocar que, de forma inadvertida, los servidores internos o no públicos queden expuestos, de tal manera que un atacante remoto obtenga información sensible a través de peticiones especialmente manipuladas.

El fallo está provocado por una configuración como la que sigue

RewriteRule (.*)\.(jpg|gif|png) http://images.ejemplo.com$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png) http://images.ejemplo.com$1.$2

ya que, ante una petición de este tipo

GET @otro.ejemplo.com/otro.png HTTP/1.1

podría traducirse, por ejemplo, en:

http://images.ejemplo.com@otro.ejemplo.com/algo.png

lográndose una conexión a la máquina otro.ejemplo.com que en principio no debería ser accesible, confundiendo el sistema la parte izquierda de la URL con credenciales. Un atacante podría así obtener información de los sistemas internos de una red según la respuesta data ante la petición.

La siguiente configuración no se ve afectada por esta vulnerabilidad (nótese el carácter '/' antes de '$1.$2'):

RewriteRule (.*)\.(jpg|gif|png) http://images.ejemplo.com/$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png) http://images.ejemplo.com/$1.$2

La vulnerabilidad tiene asignado el identificador CVE-2011-3368, y el parche para corregirla puede descargarse desde el siguiente enlace:
http://www.apache.org/d

Más Información:

CVE-2011-3368 httpd: reverse web proxy vulnerability
https://bugzilla.redhat.com/

Fuente:
Juan José Ruiz
http://www.hispasec.com



Otras noticias de interés:

Firefox 2.0.0.4 portable
Ya tenemos disponible para su descarga una versión portable de Firefox 2.0.0.4 en español. Firefox Portable está pensado para ser utilizado sin necesitad de instalarlo en la PC y con la posibilidad de copiarlo a un dispositivo USB y llevarlo donde...
Plan de Migración a Software Libre" Por: Roso Grimau
Sobre el artículo Consideraciones para la toma de decisiones tecnológicas - Este artículo sí bien pone en el tapete el tema de la migración al Software Libre y la importancia que tiene para el país no es muy acertado, y me da impresión ...
Ranking - Los virus más reportados en VSAntivirus (septiembre 2002)
Con apenas 24 horas de detectado, el W32/Bugbear.A (conocido también como Tanatos), ha ingresado en el último día de nuestras estadísticas de setiembre, con 30 casos de infección reportados....
Ciberdelincuentes y Angry Birds
La empresa de seguridad BitDefender informa de que una tienda on-line que vendía souvenirs del popular juego ha sido hackeada e infectada con malware....
Felicidades En tu Dia Hermano
Feliz cumpleaños hermano, que lo pases de maravilla y con todos los del team xombra aprendiendo cada dia mas las cosas sencillas y dificiles de internet suerte hermano Lord Angelus...
Dorkbot, el malware más detectado
Con un poco más de seis meses de vida, Dorkbot se ha vuelto en el malware que más veces se ha detectado en toda América Latina, según dio a conocer la empresa de investigación ESET Latinoamérica....
Hewlett Packard (HP) apuesta fuerte por Linux
Hewlett Packard lleva tiempo contribuyendo al movimiento Linux, pero el lunes pasado añadió un nuevo capítulo a su historia de adhesión al movimiento Open Source....
Éxitos y fracasos del Malware Conficker
Si algo ha conseguido Conficker, es generar expectación mediática. Alentado por las casas antivirus, que no pasan por su mejor momento en nivel de detección global, Conficker ha servido para recordar al mundo que existen todavía amenazas globales...
Códigos QR y el malware
De un tiempo a esta parte los códigos QR han ido reproduciéndose en el ámbito publicitario principalmente, hasta el punto en el que es complicado no encontrar un anuncio que lo contenga. ¿Qué son realmente los códigos QR y qué relación pueden...
El lado oscuro de las redes sociales
El diario The New York Times reportó, un mes atrás, tres casos de presuntas violaciones de menores que se originaron a través de Skout, una aplicación para iPhone que se presenta como un lugar de “coqueteo. Frente a esta situación, la compañ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallo
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mod_proxy
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra