Harald Brombach (digi.no) Skrevet 3. august 2017 Del Skrevet 3. august 2017 Har for første gang funnet et skikkelig sikkerhetshull i Varnish Lenke til kommentar
Visningsnavn123 Skrevet 3. august 2017 Del Skrevet 3. august 2017 Her må artikkelforfatter ta seg en bolle Jeg vet ikke hvor mange ørten feil jeg har rapportert til Varnish som får Varnish til å kræsje gjennom årene, men det er mange. På et tidspunkt var det et så stort problem at vi måtte vurdere å bruke noe annet pga at det kræsjet så ofte at backend fikk ytelsesproblemer. Lenke til kommentar
Harald Brombach (digi.no) Skrevet 3. august 2017 Forfatter Del Skrevet 3. august 2017 Her må artikkelforfatter ta seg en bolle Jeg vet ikke hvor mange ørten feil jeg har rapportert til Varnish som får Varnish til å kræsje gjennom årene, men det er mange. På et tidspunkt var det et så stort problem at vi måtte vurdere å bruke noe annet pga at det kræsjet så ofte at backend fikk ytelsesproblemer. Jeg spiser gjerne boller, men: Det er massevis av krasjtilfeller i programvare som ikke utgjør noen sårbarhet. Kunne disse krasjene du nevner utløses med hensikt av klienter, eller var det helt andre forhold som utløste dem? 1 Lenke til kommentar
Visningsnavn123 Skrevet 3. august 2017 Del Skrevet 3. august 2017 Her må artikkelforfatter ta seg en bolle Jeg vet ikke hvor mange ørten feil jeg har rapportert til Varnish som får Varnish til å kræsje gjennom årene, men det er mange. På et tidspunkt var det et så stort problem at vi måtte vurdere å bruke noe annet pga at det kræsjet så ofte at backend fikk ytelsesproblemer. Jeg spiser gjerne boller, men: Det er massevis av krasjtilfeller i programvare som ikke utgjør noen sårbarhet. Kunne disse krasjene du nevner utløses med hensikt av klienter, eller var det helt andre forhold som utløste dem? Feilen det refereres til trigger en assert som dermed får systemet til å kræsje. Slike feil finnes det mange av, feks https://www.varnish-cache.org/trac/ticket/1628 Lenke til kommentar
Harald Brombach (digi.no) Skrevet 3. august 2017 Forfatter Del Skrevet 3. august 2017 (endret) Feilen det refereres til trigger en assert som dermed får systemet til å kræsje. Slike feil finnes det mange av, feks https://www.varnish-cache.org/trac/ticket/1628 Greit nok, men for å være en sårbarhet må den kunne utnyttes av en angriper på en eller annen måte: http://cve.mitre.org/about/terminology.html#vulnerability Kunne feilen du viser til utnyttes av en angriper til å utløse en krasj? Uansett, påstanden om at det er det første sikkerhetshullet i Varnish tilhører Poul-Henning Kamp. Jeg foreslår at du tar opp temaet med ham direkte i kommentarene under hans blogginnlegg: https://www.version2.dk/blog/endelig-varnish-sikkerhedshul-1078765 Endret 3. august 2017 av Harald Brombach (digi.no) Lenke til kommentar
Kristian Lyngstol Skrevet 3. august 2017 Del Skrevet 3. august 2017 Her har PHK strengt tatt forglemt seg litt. Det stemmer (meg bekjent) godt at det ikke har vært alvorlige sikkerhetshull i nyere tid. Jeg har jobbet med produktet i mange år (blant annet satt det opp for Digi/Aller i sin tid) så kjenner også godt til at det er mange assert bugs, men det at det finnes bugs som kan trigges er ikke helt det samme. Om det ikke kan bevist reproduseres fra klientsiden har vi ikke regnet det som direkte sikkerhetsfeil. (Min favorittbug var for en argentinsk kunde, der buggen bare slo inn når en backend server kræsjet og istedet for å returnere "200 OK" så returnerte den "200 <java stacktrace med vertical tabs>"). Men.... La meg lede opperksomheten til Varnish 2.0.0, høsten 2008: https://varnish-cache.org/trac/ticket/354 Dette var cirka akkurat da jeg ble involvert i prosjektet, men Varnish 2.0.1 kom _veldig_ kort tid etter 2.0.0 nettopp på grunn av at dette var en bug som kunne trigges av klienter. På en annen side var man vel omtrent på fornavn med alle de seriøse brukerene på den tiden. Så det store omfanget var det nok ikke. 1 Lenke til kommentar
Emancipate Skrevet 3. august 2017 Del Skrevet 3. august 2017 For første gang siden Varnish ble levert, har det blitt funnet en sårbarhet i programvaren. Hvordan vet han at dette er første gang den er funnet? Han vet bare at dette er første gang noen med edle hensikter har funnet den. Lenke til kommentar
Visningsnavn123 Skrevet 3. august 2017 Del Skrevet 3. august 2017 Kunne feilen du viser til utnyttes av en angriper til å utløse en krasj? Alle feil jeg har rapportert har skjedd pga en klient/bruker, med unntak av en bug som gjorde at varnish kræsjet dersom et hardkodet unix-gruppenavn ikke eksisterte. Det har (mest sannsynlig) aldri vært snakk om at en klient har kræsjet serverne med vilje, men med informasjonen jeg har opparbeidet meg pga kræsjene kunne jeg fint ha kræsjet andres varnish-installasjoner før serverne ble patchet. Det er ikke noe nytt at det er feil i programvare. Jeg ville bare påpeke latterligheten over at dette omtales som første bruker-genererte feil som får varnish til å kræsje. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå