DoS-hul i Varnish: »For nemt« at udnytte

Illustration:
Varnish-cache-serveren er ramt af en DoS-sårbarhed.

Kører du den internationalt udbredte Varnish-cache-server, så bør du overveje at opdatere til seneste version. Af en meddelelse på open source-projektets hjemmeside fremgår det, at der er dukket en DoS-sårbarhed (Denial of Service) op i Varnish.

Sårbarheden gør kort fortalt, at det er muligt at få en sårbar Varnish-server til at genstarte ved at sende særligt udformede HTTP/1-forespørgsler. Og dermed er det principielt også muligt at gøre den web-ressource, der ligger bag cache-serveren, utilgængelig.

Version2-blogger Poul-Henning Kamp er udvikler på projektet samt den oprindelige hovedarkitekt bag Varnish.

På spørgsmålet om, hvorvidt det er let eller svært for en angriber at udnytte hullet, svarer han via mail:

»For nemt.«

De berørte Varnish-udgaver er 6.1.0 og frem til (ikke med) version 6.2.1, hvor sårbarheden er fikset i sidstnævnte version.

For LTS-udgaverne er det version 6.0 til og med 6.03, der er sårbar. Fejlen er rettet i 6.0.4 LTS.

Hvis ikke det er muligt umiddelbart at patche, så kan sårbarheden imødegås via Varnish Configuration Language (VCL). Det ligger der en how-to til her.

Poul-Henning Kamp anslår, at omkring 20 procent af verdens web-trafik kører gennem Varnish på et eller andet tidspunkt.

Blogindlæg om sårbarheden

I et blogindlæg på Version2 fortæller Poul-Henning Kamp mere om sagen. Bloggen indeholder et uddrag fra et indlæg fra Kamp på Varnish-projektets hjemmeside. Her bemærker han blandt andet, at Varnish foreløbigt kun har været ramt af to store sikkerhedshuller - begge i DoS-kategorien. Den første er beskrevet her.

Hvorvidt det beskedne antal alvorlige sårbarheder skyldes, at der ikke har været det store at komme efter i Varnish-koden, eller hvorvidt forklaringen er, at folk bare ikke har gransket koden så meget, har Poul-Henning Kamp ikke umiddelbart noget bud på. Han peger på, at andre projekter og mere hullede projekter får al opmærksomheden fra 'dusørjægerne'. Altså folk, der finder sikkerhedshuller og får penge, når hullerne bliver fundet.

»Og fordi vi lever lidt i det skjulte, i midten af DevOps land så at sige, er der rigtig mange, der slet ikke aner, at vi overhovedet eksisterer. Eller hvor meget trafik vi flytter,« skriver Poul-Henning Kamp.

Under alle omstændigheder kunne han godt tænke sig, at Varnish-koden får opmærksomhed fra sikkerhedsforskere.

»Bestemt!,« skriver Poul-Henning Kamp og tilføjer:

»Kompetent kritisk opmærksomhed er vejen til bedre kode.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere