Første sikkerhedshul i den danske cache-server Varnish giver mulighed for DoS-angreb

Efter 11 år er det første sikkerhedshul i cache-serveren Varnish fundet.

Cache-serveren Varnish, som har danske aner, har oplevet sit første hul efter 11 år på banen.

En cache-server benyttes til at lagre web-indhold, så bagvedliggende serversystemer ikke skal generere det samme indhold igen og igen.

Varnish er i sin tid skrevet af Poul-Henning Kamp, kendt som blogger på Version2.

Af projektets hjemmeside fremgår det, at en bestemt udformet ugyldig forespørgsel fra klienten kan udløse en såkaldt 'assert'-sætning, hvor programkoden tjekker at en bestemt betingelse er opfyldt, for at sikre, at koden gør det, som programmøren tror at den gør.

Denne assert får den pågældende server-tråd til at crashe og genstarte, hverved det cachede indhold tabes og skal generes igen.

Det betyder, at en angriber kan crashe serveren igen og igen, hvilket gør at klienterne ikke modtager indholdet på websiden, eller at websitets hastighed går i knæ.

Fejlen kan udbedres ved hjælp at Varnish's konfigurationssprog VCL, eller ved at benytte en udgave, som ikke er berørt af fejlen.

Følgende versioner indeholder fejlen: 4.0.1 til 4.0.4, 4.1.0 til 4.1.7, 5.0.0, 5.1.0 til 5.1.2.

Der er mere information om fejlen på projektets hjemmeside.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere