Een module in Apache-webservers die statuspagina's aanmaakt met informatie over de webserver is bij veel grote websites van buitenaf te bereiken. Wachtwoorden worden in platte tekst blootgelegd.

Verschillende Apache-webservers lekken informatie die hackers kan helpen een aanval op te zetten. Zo zijn gegevens over de interne sitestructuur, ip-adressen van bezoekers en de resources die ze gebruiken uit te lezen. De IDG News Service meldt dat honderden sites openstaan, waaronder cisco.com, iens.nl, 123people.nl en apache.org.

Beveiligingsdeskundige HD Moore van Rapid 7 vertelt Ars Technica dat veel sites wachtwoorden van beheersaccounts op deze manier in platte tekst lekken. Moore ontdekte dat tenminste 6 sites gebruikersnamen en wachtwoorden lekken. Nog eens twaalf leggen een sessie-ID bloot waarmee afgeschermde delen van de website kunnen worden bereikt.
Afsluiting omzeild

De module mod_status maakt een pagina aan voor serverbeheerders waarin deze informatie is terug te vinden. Websites voegen deze module toe om de site eenvoudiger te beheren. De statuspagina geeft onder meer het cpu-gebruik, paden naar interne bestanden en memory load weer. Beveiligingsbedrijf Securi ontdekte met een webcrawl dat bij veel sites deze informatie van buitenaf toegankelijk is.

Daniel Cid van Securi adviseert sitebeheerders om de statuspagina uit te schakelen of alleen toegestane IP-adressen binnen te laten. Afhankelijk van de infrastructuur van de site is het mogelijk dat de tweede optie omzeild wordt. Wanneer bijvoorbeeld de proxyservice Squid een reverse proxy uitvoert op hetzelfde systeem waarbij de mod_status is dichtgezet, lijkt het alsof aanvragen binnenkomen via een lokaal ip-adres. Op die manier heeft het dichtzetten voor vreemde ip-adressen geen zin.

Update 8.45 uur: Bevindingen van HD Moore via Ars Technica toegevoegd.