Verdens mest brukte programvare for webservere, Apache, avslører informasjon til brukere som standard. I normale omstendigheter er det ikke et stort problem, men når det gjelder tjenester som ligger på TOR nettverket så blir saken en annen.
The Onion Router er et anonymiseringsnettverk opprinnelig utviklet i midten av 90 tallet hos United States Naval Research Laboratory, og Tor ble senere videreutviklet hos DARPA fra 1997. Og er idag verdens mest brukte nettverk for anonymisering
Les mer av vår dekning om The Onion Router nettverket her.
Farligere enn det meste
Lekkasjen har vært kjent blant systemadministratorer som tar seg tid til å lese Tor dokumentasjonen, men flere skjulte Tor tjenester har altså gått i denne fellen. Videre kan den anonyme brukeren fortelle at han har funnet mange servere på Tor nettverket som lider av denne feilen.
Annonse
– Jeg rapporterte denne feilen, og det ble fikset i løpet av noen timer. En bra respons, men det skulle ikke vært nødvendig i utgangspunktet, sier en anonym bruker på wireflaw.net.
Potensielt kan angripere finne ut den virkelige IP adressen til serveren, om den også har en Virtualhost som bruker en clearnet (normal) IP. Det vil gjøre det svært enkelt å finne bakmennene til noen av disse tjenestene.
– Glem 0days (helt ferske sikkerhetsfeil), trafikkanalyser og krypto-angrep; det er enkle feil som dette som biter hardest, skriver brukeren videre på wireflaw.net.
mod_status er synderen
For å tette dette hullet så er alt man trenger å gjøre å deaktivere mod_status som er en modul til apache. Modulen viser en statusside med potensielt sensitiv informasjon om serveren den kjører på. Informasjon som antall henvendelser pr sekund, siste http henvendelse mottatt, CPU bruk, og i noen tilfeller antatt lengdegrad til serveren hvis korrekt tidssone er satt.
Enkelt å finne offerere
Å finne servere som har denne modulen aktivert er så lett som å legge til /server-status til enden av en .onion adresse.
Skulle man være en av de uheldige, så er de gode nyhetene at det er veldig lett å tette lekkasjen, ved å kjøre kommandoen sudo a2dismod status deaktiverer man modulen.
Kilde:
ARSTechnica
Annonse
