Kjører du den internasjonalt utbredte Varnish Cache-programvaren, så bør du overveie å oppdatere til nyeste versjon. Det fremgår av en melding på åpen kildekode-prosjektets hjemmesider at det er påvist en DoS-sårbarhet (Denial of Service) i produktet.
Kort fortalt gjør sårbarheten at det er mulig å få en berørt Varnish-server til å restarte ved å sende spesielt utformede HTTP/1-forespørsler. I prinsippet er det mulig å gjøre webressursen som ligger bak cache-serveren utilgjengelig.
Version2-blogger Poul-Henning Kamp er utvikler på prosjektet, samt den opprinnelige hovedarkitekten bak Varnish.
Tesla ga norske Varnish ideen til et nytt globalt produkt
På spørmål om det er enkelt eller vanskelig for en angriper å utnytte hullet svarer han følgende via epost:
– Altfor enkelt.
De berørte Varnish-utgavene er 6.1.0 og frem til (ikke inkludert) versjon 6.2.1. Sårbarheten er fikset i sistnevnte versjon.
For LTS-utgavene er det versjon 6.0 til og med 6.03, som er berørt. Feilen er rettet i 6.0.4 LTS.
Dersom det ikke er mulig å patche umiddelbart, så kan sårbarheten også håndteres via Varnish Configuration Language (VCL). Det ligger en oppskrift for dette her.
Poul-Henning Kamp anslår at rundt 20 prosent av verdens webtrafikk kjører gjennom Varnish på et eller annet tidspunkt.
Innlegg om sårbarheten
I et blogginnlegg på Version2 er det mer om saken. Bloggen inneholder et utdrag fra et innlegg fra Kamp på Varnish-prosjektets hjemmeside. Her bemerker han blant annet at Varnish foreløpig bare har vært rammet av to store sikkerhetshull – begge i DoS-kategorien.
En av disse kan du lese mer om her på digi.no: Har for første gang funnet et skikkelig sikkerhetshull i Varnish.
Hvorvidt det beskjedne antall alvorlige sårbarheter skyldes at det er lite av den slags å finne i Varnish-koden, eller at folk bare ikke har gransket kildekoden så meget, har Poul-Henning Kamp ikke umiddelbart noe svar på. Han påpeker at andre mer sårbare prosjekter får all oppmerksomheten fra «dusørjegerne». altså folk som jakter sikkerhetshull og får belønning i form av penger når hull kan påvises.
– Og fordi vi lever litt i det skjulte, nærmest midt i devops-land, så er det riktig mange som slett ikke aner at vi overhodet eksisterer. Eller hvor mye trafikk vi flytter, skriver han.
Under alle omstendigheter kunne han godt tenkte seg at Varnish-koden får oppmerksomhet fra sikkerhetsforskere.
Alvorlige sårbarheter funnet i store VPN-tjenester – allerede under angrep av hackere
– Definitivt, skriver Poul-Henning Kamp og legger til:
– Kompetent og kritisk oppmerksomhet er veien til bedre kode.
Artikkelen er levert av vår samarbeidspartner Version2.dk, en del av Teknologiens Mediehus.
