dodany: 25.07.2013 | tagi: , , , ,

Autor:

Luka w serwerach Barracuda

3

W urządzeniach firmy Barracuda Networks odkryto poważną lukę, która pozwala na odczytanie haseł wszystkich użytkowników serwera. Problem ten odkrył Ebrahim Hegazy.

Słabość w zabezpieczeniach pojawia się w przypadku, gdy chcemy zwiększyć poziom zabezpieczeń, wprowadzając dwuetapowe uwierzytelnianie. W urządzeniach Barracuda można to zrobić na kilka sposobów – jednym z nich jest odpowiednia konfiguracja plików .htaccess oraz .htpasswd. 

Sęk w tym, że w tym wypadku .htpasswd powinien znajdować się poza webowym katalogiem, tj. każdym innym niż główny (np. C:\Dowolny\.passwd). Niestety w przypadku Barracudy, plik ten znajduje się wewnątrz katalogu z panelem administracyjnym.

Powyższy fakt daje każdemu możliwość na bezpośrednie odwołanie się do pliku z hasłami przez następujący adres:

Odwołanie to daje bezpośredni dostęp do wszystkich haseł użytkowników serwera Barracuda. Dlaczego? Ano dlatego, że plik ten zawiera hasła w otwartej postaci.:

Przykładowa zawartość pliku .htpasswd (źródło TheHackerNews)

Przykładowa zawartość pliku .htpasswd (źródło: TheHackerNews).

Odkrywca problemu zgłosił tę lukę producentowi, a ten wydał już stosowną poprawkę, dlatego wszyscy administratorzy urządzeń Barracuda Networks powinni ją zainstalować.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

3 odpowiedzi na “Luka w serwerach Barracuda”

  1. avatar wilk napisał(a):

    Tyle literówek w tak krótkim artykule. ;\ Anyway, plik .htpasswd nie musi być poza katalogiem webowym. Jeśli, webserwer nie chodzi z prawami roota, co powinno być w zasadzie normalne, to nie będzie miał dostępu do plików na prywatnym koncie. Wystarczy za to ustawić proste regułki w .htaccess blokujące z zewnątrz dostęp do obu plików i po problemie.

  2. avatar @WebSecurityPL napisał(a):

    Poprawiliśmy literówki. Dzięki za czujność!

    • avatar wilk napisał(a):

      Ale nie wszystkie. :P „Networsk” i kluczowy błąd w przykładowym URL: „http://updates.cudasvc.com/admin./thpasswd”.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *