HTTP OPTIONS-methode kan geheugen Apache-server lekken

[Captain Kirk]

Een optie voor Apache-servers kan er in bepaalde gevallen voor zorgen dat er servergeheugen lekt, zo waarschuwt onderzoeker Hanno Böck. Het gaat om de OPTIONS-methode van http. Het http-protocol ondersteunt verschillende methodes, waarbij GET en POST erg bekend zijn.

Via de OPTIONS-methode is het mogelijk om een server te vragen welke http-methodes die allemaal ondersteunt. De server kan vervolgens met de "Allow" header antwoorden en een overzicht van ondersteunde methodes teruggeven. In bepaalde gevallen geeft de server meer dan alleen een overzicht van http-methodes terug, maar ook de inhoud van het servergeheugen. Het kan dan om gevoelige informatie gaan, aldus Böck.

Het probleem doet zich voor als de beheerder van de server een "Limit directive", waarmee beperkingen voor http-methodes kunnen worden opgegeven, in een .htaccess-bestand voor een ongeldige http-methode instelt. Dit veroorzaakt een gecorrumpeerde Allow-header die een willekeurig deel van het servergeheugen kan bevatten. Böck voerde een scan van de 1 miljoen populairste websites uit en ontdekte het probleem bij 466 hosts. De onderzoeker stelt dat er een aanvullend risico bij shared hosting-omgevingen is, omdat de corruptie niet tot een enkele virtuele host is beperkt.

Een kwaadwillende gebruiker in een shared hosting-omgeving zou opzettelijk een .htaccess-bestand kunnen aanmaken dat een gecorrumpeerde header teruggeeft, in de hoop dat die informatie van andere hosts op hetzelfde systeem bevat. Er is inmiddels een patch voor Apache uitgekomen. "Als je een Apache-webserver in een shared hosting-omgeving draait die toestaat om gebruikers .htaccess-bestanden aan te maken, dan moet je alles laten vallen en meteen updaten en de server daarna herstaten", laat Böck weten.