В популярном web-сервере Apache была обнаружена уязвимость, позволяющая раскрыть данные о сайтах в анонимной сети Tor. Об этом сообщает независимый исследователь безопасности на собственном сайте Wireflaw. В настроенном по умолчанию Apache включена функция под названием mod_status, позволяющая отображать статистику сайта на специальной странице /server-status. К примеру, на странице доступна информация о времени работы, потреблении ресурсов, количестве включенных виртуальных хостов, а также активных HTTP-запросах. В целях безопасности доступ к /server-status разрешен лишь через localhost. Демон Tor также работает через localhost. В результате любой желающий может получить доступ к /server-status и раскрыть важные данные. Например, злоумышленники могут раскрыть примерное местоположение или даже IP-адрес сервера. На протяжении последних шести месяцев специалист обнаружил несколько случаев раскрытия данных сайтов в сети Tor через /server-status. Иногда уязвимости были подвержены крупные сервисы в анонимной сети, в том числе поисковые движки. Для устранения ошибки необходимо отключить компонент mod_status, выполнив в командной строке сервера команду
securitylab.ru