+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 593
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 593
    Points : 54 276
    Points
    54 276

    Par défaut Des serveurs Apache mal configurés peuvent faire fuiter des informations

    Des serveurs Apache mal configurés peuvent faire fuiter des informations
    sur le trafic Tor

    Le web profond, cette partie d'internet non indexée par des moteurs de recherche classiques généralistes, est souvent accessible via des services comme Tor ou I2P. Une portion d'internet souvent utilisée par des personnes désireuses de s'exprimer sous couvert de l'anonymat.

    Mais, comme toutes portions du web, les sites en oignons auxquels des individus accèdent ont besoin d'être hébergés sur un serveur web. S'il y a plusieurs méthodes pour le faire, l'une des plus répandues consiste à se servir d'un serveur Apache Web en plus d'un daemon Tor pour gérer la partie anonyme du trafic serveur.

    Toutefois, un paramètre par défaut dans les serveurs Apache Web, s'il n'est pas modifié, pourrait permettre de faire fuiter des informations sur le traffic serveur ainsi que sur le serveur lui-même.

    « Si vous utilisez le service d'anonymisation Tor pour un serveur Apache, assurez-vous de désactiver mod_status avec la commande $ a2dismod status. Sur la plupart des distributions, Apache est livré avec une fonctionnalité pratique appelée mod_status qui est activée. C'est une fonctionnalité située à /server-status qui permet d'afficher quelques statistiques comme la disponibilité, l'utilisation des ressources, le trafic total, les hôtes virtuels activés et les requêtes actives HTTP. Pour des raisons de sécurité, elle est accessible uniquement depuis localhost par défaut.

    Cela semble assez raisonnable, jusqu'à ce que vous vous rendiez compte que le daemon Tor tourne en localhost. Par conséquent, tout service caché utilisant la configuration par défaut d'Apache a sa page /server-status exposée au monde. Que peut faire un acteur malveillant dans ce cas ? Espionner des demandes potentiellement sensibles, déduire approximativement la longitude du serveur si le fuseau horaire est défini, voire déterminer l'adresse IP si un hôte virtuel clearnet est présent ».

    Il ne s'agit pas là d'un nouveau problème dans la mesure où il a déjà été signalé auparavant au Projet Tor. Mais suite au tweet d'Alec Muffet – un ingénieur logiciel Facebook connu dans la communauté des chercheurs en sécurité – qui pointait vers le blog d'un étudiant en sciences informatiques expliquant le problème et ses ramifications, le problème a été remis une fois de plus à l'ordre du jour.

    « J'ai découvert de nombreuses expositions de ce type durant les six derniers mois, et je les ai signalées partout où un contact était fourni. Ce ne sont pas seulement les pages statiques ou de petits sites personnels qui en sont affectés. Même des sites où la vie privée des utilisateurs est un impératif montrent de la négligence à cet égard. Vers la fin de 2015, j'ai trouvé un moteur de recherche populaire .onion qui n'avait pas désactivé ce module d'état. Comme vous pouvez l'imaginer, le résultat n'était pas des plus beaux ».

    Il recommande de vérifier si votre mod_status est désactivé en vous rendant à l'adresse http://your.onion/server-status : « si vous avez une réponse autre que 404 et 403, ouvrez un shell sur votre serveur et exécutez $ sudo a2dismod status ».

    Source : blog Wireflaw

    Et vous ?

    Un consultant remet en cause la sécurité de Tor et avertit les utilisateurs que les données qui sortent du réseau peuvent être interceptées

    Vulnérabilité critique dans le serveur Web Apache, un outil exploite la faille qui permet des attaques par déni de service

  2. #2
    Membre confirmé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    258
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 258
    Points : 454
    Points
    454

    Par défaut Hum

    "Des serveurs mal configurés peuvent faire fuiter des informations"

    Oui...

Discussions similaires

  1. apache mal configuré --> crach
    Par fourou19 dans le forum Apache
    Réponses: 1
    Dernier message: 18/02/2014, 15h40
  2. Réponses: 0
    Dernier message: 04/04/2013, 19h12
  3. Réponses: 0
    Dernier message: 11/02/2008, 18h01
  4. Réponses: 2
    Dernier message: 31/01/2008, 21h55
  5. configuration serveur apache -> faire 1 site Internet
    Par jejerome dans le forum Apache
    Réponses: 4
    Dernier message: 19/04/2006, 11h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo