Menéame: comentarios [2556211]

#29 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

Benjamin_Linus — Wed, 03 Feb 2016 11:53:07 +0000

#26 la noticia está redactada como el culo y se merece un sensacionalista a tope. Lo que creo quieren decir es que, tal y como dice #1, al pasar por un proxy antes la petición (en este caso, el daemon de tor) por defecto en muchas distribuciones el server-status de Apache queda expuesto, y que con la información que sale ahí (basicamente IP de los clientes, nombres de los vhost INTERNOS de apache después de pasar por el proxy tor) se pueda llegar a saber la identidad o la locación del servidor tor.

El blog (en inglés) de donde salió todo el copy/paste de noticias sobre este problema:
wireflaw.net/blog/apache-hidden-service-vuln.html

» autor: Benjamin_Linus

#28 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

eduardor2k — Wed, 03 Feb 2016 08:54:19 +0000

Yo tengo apache y uso la configuración por defecto, ya que no tengo ni idea y esa url no me va..., #27 debe de tener razón

» autor: eduardor2k

#27 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--370435-- — Wed, 03 Feb 2016 08:52:18 +0000

Poned "127.0.0.1/server-status/"; no como dice la entrada URL “http://website.com/server-status/” en ubuntu sale la web... y si entras desde un dominio te pone que no tienes permiso para verlo... si como dicen tor usa 127.0.0.1 como host... estan jodidos los que tengan un server apache en tor....

» autor: --370435--

#26 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

clstrife — Wed, 03 Feb 2016 08:19:10 +0000

Errónea, ese módulo no viene configurado/habilitado por defecto o al menos depende del paquete que tenga la distro.
Además, no se accede a través de la ruta que dicen, seria http://hostname/server-status
Luego, aunque esa información sea visible y la gestione un sysadmin, que para eso está este módulo, aparecerá la información de tu último nodo de Tor y no tu información real.

O yo no entiendo la noticia o no la entiende quien la ha redactado.

» autor: clstrife

#25 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

Bad_CRC — Wed, 03 Feb 2016 07:24:14 +0000

#8 yo en nginx tb activo el server-status para acceder desde localhost (y sacar stats y darle de comer a un graphite o un ganglia o lo que sea)

» autor: Bad_CRC

#24 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

xkill — Wed, 03 Feb 2016 07:22:21 +0000

Pues en sistemas basados en Debian ( Debian, Ubuntu, Mint, ... ):
a2dismod server-status
service apache2 restart

» autor: xkill

#23 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

cosmonauta — Wed, 03 Feb 2016 01:28:55 +0000

#1 Ya... Pero me puse a jugar con un varnish en un servidor y resulta que la **** página de status funciona, porque apache ve la petición desde localhost. Ahora toca configurar un server a las 2 de la mañana...

Y gracias a la noticia, que si no se me queda ahí el agujero.

» autor: cosmonauta

#22 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

Trublux — Wed, 03 Feb 2016 01:06:05 +0000

El error es dejar el apache (o el server que sea) con la configuración por defecto.

» autor: Trublux

#21 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

pedrobz — Wed, 03 Feb 2016 00:47:16 +0000

¿Alguien mas ha probado con la propia menéame?

» autor: pedrobz

#20 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--364995-- — Tue, 02 Feb 2016 09:12:29 +0000

#5 El titular dice: "podría revelar detalles del tráfico en Tor". No te dejes palabras sin leer porque pueden ser imporantes.

El último salto en Tor parece que se hace desde la maquina local. Así que si este módulo está activado en un servidor que esté en .onion, apache no podrá distinguir si la gente viene de local o de fuera y les servirá el server-status a todos, aunque hayas configurado que solo se lo sirva a los locales.

Dado que lo que interesa a los servidores que usan Tor es ser anónimos, tienen que tener en cuenta que apache en su configuración por defecto canta todo lo que sabe a la mínima. Y la moraleja es que, uses o no uses Tor, hay que tener cuidado incluso con las conexiones locales porque te las puede estar haciendo quien menos te lo esperas.

» autor: --364995--

#19 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--37472-- — Mon, 01 Feb 2016 10:16:30 +0000

[Usuario deshabilitado]

» autor: --37472--

#18 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--491879-- — Mon, 01 Feb 2016 10:15:17 +0000

#15 en apache2.conf

<Location /server-status>
SetHandler server-status
Order Deny,Allow
Deny from all
</Location>

Un workarround para deshabilitarlo. Confirmo que en Ubuntu Server viene activado por defecto.
Edito: es lo que pasteaste antes!!

» autor: --491879--

#17 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--37472-- — Mon, 01 Feb 2016 10:14:29 +0000

[Usuario deshabilitado]

» autor: --37472--

#16 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--491879-- — Mon, 01 Feb 2016 10:10:41 +0000

#15 Pues a modo de prueba, vete a una página de web-proxies, y prueba a entrar en la página a traves del propio proxy. Con ubuntu viene por defecto, aparentemente.
Ves la gente que está conectada, si es grave, si.

» autor: --491879--

#15 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--37472-- — Mon, 01 Feb 2016 10:08:01 +0000

[Usuario deshabilitado]

» autor: --37472--

#14 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--491879-- — Mon, 01 Feb 2016 10:01:19 +0000

#13 Exacto. Ojo que entre por SSH y accedí a través de un navegador por consola, usando 127.0.0.1/server-status

» autor: --491879--

#13 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--37472-- — Mon, 01 Feb 2016 09:59:20 +0000

[Usuario deshabilitado]

» autor: --37472--

#12 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--491879-- — Mon, 01 Feb 2016 09:55:20 +0000

#10 Acabo de probar, y desde localhost si hay una página llamada server-status

» autor: --491879--

#11 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

llamamepanete — Mon, 01 Feb 2016 09:24:28 +0000

Las configuraciones de Apache son modificadas por los mantenedores de los paquetes; pudiendo estar mod_status, cargado o descargado, configurado o sin configurar. Por tanto hablar de "la configuración de Apache" no tiene mucho sentido, porque ni es única, ni tan siquiera uniforme entre mantenedores.

Por ejemplo, en CentOS/RHEL, por defecto, mod_status está cargado como módulo pero su configuración está deshabilitada. Es necesario, expresamente, definir la configuración para que funcione. De tal forma, esta vulnerabilidad / error de configuración no es explotable.

En cambio, en Ubuntu, por defecto, el módulo está cargado y la configuración permitida para localhost (127.0.0.1). De tal forma que acceder a 127.0.0.1/server-status mostrará información sensible sobre las conexiones en curso.

Y por ello, si hay un proxy levantado que recibe peticiones (p.ej. TOR) y en vez de reenviar a la IP local de eth o wlan, las envía a lo (que es muy común) remotamente se podrá acceder a la información de mod_status y obtener información sobre las conexiones en curso.

» autor: llamamepanete

#10 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--37472-- — Mon, 01 Feb 2016 08:26:12 +0000

[Usuario deshabilitado]

» autor: --37472--

#9 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

GoDie — Sun, 31 Jan 2016 22:51:36 +0000

#7 La cuestión es que suelta información que no debería en un sistama critico con la privacidad. Y en ningun sitio dice que es un problema chungo, eso te lo has inventado al igual que el porcentaje, de hecho dado que todavía se supone que no esta explotado no se preocupan, pero que es algo a tener en cuenta.

» autor: GoDie

#8 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--298049-- — Sun, 31 Jan 2016 21:59:17 +0000

#1 Y es por eso que la inmensa mayoría de sitios TOR usan nginx o lighttpd

Por defecto el módulo TOR envía las peticiones al webserver desde 127.0.0.1

» autor: --298049--

#7 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

Cartman — Sun, 31 Jan 2016 21:56:10 +0000

#6 Y que porcentaje tiene eso que se produzca? un 0.0001%!!

Pos vale, votemos que es un super problema chungo de mil demonios, después podemós correr con las manos arriba en circulos.

» autor: Cartman

#6 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

GoDie — Sun, 31 Jan 2016 21:52:45 +0000

#5 Podria ser un problema de seguridad si se explota y se engaña al servidor y de eso se habla.

» autor: GoDie

#5 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

Cartman — Sun, 31 Jan 2016 21:49:25 +0000

#4 Si es desde el propio servidor y local, que mierda es??, vamos, ni noticia entonces.

» autor: Cartman

#4 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

GoDie — Sun, 31 Jan 2016 21:46:38 +0000

#3 Seguramente estes probando remotamente aunque sea IP interna, tiene que ser desde el propio servidor. Probado con ubuntu y si aparece info.

Lo de configuración por defecto dado que es un modulo, sera cargando los modulos por defecto.

» autor: GoDie

#3 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

Cartman — Sun, 31 Jan 2016 21:39:43 +0000

Estoy por votar errónea, lo he probado en varios servidores con apache (dos debian y tres centos) y nada (cebolla up)

Eso de configuración por defecto.... pos, pami que se refieren a configuración instalada por default, y aún así creo que es una cosa muuuuy específica.

» autor: Cartman

#2 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

--495817-- — Sun, 31 Jan 2016 21:10:54 +0000

...es un error de configuración entonces, no un agujero de seguridad como dice la noticia

» autor: --495817--

#1 La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

procesd — Sun, 31 Jan 2016 20:35:56 +0000

Aclaro porque solo con esta noticia no se entiende el problema.

Por defecto solo se puede acceder en el servidor mismo, pero se ve que tor reenvia las conexiones a traves de un proxy a apache (en la misma maquina) por lo que llegan desde localhost y por lo tanto se puede acceder desde internet. Se puede desactivar en un momento pero hay que pensar en ello.

» autor: procesd