SIKKERHET

Varnish-hull åpner for tjenestenektangrep: – Altfor enkelt å utnytte

Det er påvist en sjelden sårbarhet i Varnish.
Det er påvist en sjelden sårbarhet i Varnish. Illustrasjon: Varnish, Colourbox, montasje av digi.no
Jakob Møllerhøj, Version2.dk
4. sep. 2019 - 10:44

Kjører du den internasjonalt utbredte Varnish Cache-programvaren, så bør du overveie å oppdatere til nyeste versjon. Det fremgår av en melding på åpen kildekode-prosjektets hjemmesider at det er påvist en DoS-sårbarhet (Denial of Service) i produktet.

Kort fortalt gjør sårbarheten at det er mulig å få en berørt Varnish-server til å restarte ved å sende spesielt utformede HTTP/1-forespørsler. I prinsippet er det mulig å gjøre webressursen som ligger bak cache-serveren utilgjengelig.

Version2-blogger Poul-Henning Kamp er utvikler på prosjektet, samt den opprinnelige hovedarkitekten bak Varnish.

Inspirert av Tesla: Per Buer er grunnlegger og teknologidirektør i Varnish Software. (Arkivfoto).
Les også

Tesla ga norske Varnish ideen til et nytt globalt produkt

På spørmål om det er enkelt eller vanskelig for en angriper å utnytte hullet svarer han følgende via epost:

– Altfor enkelt.

De berørte Varnish-utgavene er 6.1.0 og frem til (ikke inkludert) versjon 6.2.1. Sårbarheten er fikset i sistnevnte versjon.

For LTS-utgavene er det versjon 6.0 til og med 6.03, som er berørt. Feilen er rettet i 6.0.4 LTS.

Dersom det ikke er mulig å patche umiddelbart, så kan sårbarheten også håndteres via Varnish Configuration Language (VCL). Det ligger en oppskrift for dette her.

Poul-Henning Kamp anslår at rundt 20 prosent av verdens webtrafikk kjører gjennom Varnish på et eller annet tidspunkt.

Innlegg om sårbarheten

I et blogginnlegg på Version2 er det mer om saken. Bloggen inneholder et utdrag fra et innlegg fra Kamp på Varnish-prosjektets hjemmeside. Her bemerker han blant annet at Varnish foreløpig bare har vært rammet av to store sikkerhetshull – begge i DoS-kategorien.

En av disse kan du lese mer om her på digi.no: Har for første gang funnet et skikkelig sikkerhetshull i Varnish.

Hvorvidt det beskjedne antall alvorlige sårbarheter skyldes at det er lite av den slags å finne i Varnish-koden, eller at folk bare ikke har gransket kildekoden så meget, har Poul-Henning Kamp ikke umiddelbart noe svar på. Han påpeker at andre mer sårbare prosjekter får all oppmerksomheten fra «dusørjegerne». altså folk som jakter sikkerhetshull og får belønning i form av penger når hull kan påvises.

– Og fordi vi lever litt i det skjulte, nærmest midt i devops-land, så er det riktig mange som slett ikke aner at vi overhodet eksisterer. Eller hvor mye trafikk vi flytter, skriver han.

Under alle omstendigheter kunne han godt tenkte seg at Varnish-koden får oppmerksomhet fra sikkerhetsforskere.

Keyboard with Blue Keypad - VPN. Modern Keyboard Button Labeled VPN. VPN Concept: Computer Keyboard with VPN, Selected Focus on Blue Enter Key. VPN Written on Blue Button of Modern Keyboard. 3D.
Les også

Alvorlige sårbarheter funnet i store VPN-tjenester – allerede under angrep av hackere

– Definitivt, skriver Poul-Henning Kamp og legger til:

– Kompetent og kritisk oppmerksomhet er veien til bedre kode.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra