VoodooAlert - let´s get loud

Kommt auch stark drauf an, was drauf läuft.. Sicherheit is immer relativ. Wenn zum Beispiel auch noch veraltete PHP CMS oder so drauf laufen (mit Apache, MySQL usw.) dann kanns schon sein daß es einige mögliche SQL Injection Attacken gibt. Wenn ich mir so die letzten Security Bulletins von RedHat durchschaue, nur Mal so als Momentaufnahme, dann waren da z.B. einige kritische Lücken in Samba (Crash & root), X11 (bypass der Bildschirmsperre durch Tastencombo), und ewig viele potentielle DoS Lücken.

Auch einen netten Kernel Bug mit Proof of Concept Code gabs erst vor wenigen Monaten (root access als Resultat). Dazu mußt halt schon Mal eine lokale Shell haben..

Wennst nur einen SSH Port nach außen offen hast, und wenn nur vertrauenswürdige Leute direkt auf der Kiste arbeiten, dann würd ich vorsichtig "ja, wahrscheinlich schon" sagen. Viele Server sind ja auch einfach nur deshalb sicher, weil's keine Sau interessiert, ein unbedeutendes Ziel anzugreifen...

Also hast "das Internet" als direkten Angreifer schon Mal ausgeschlossen. Dann wird es Zeit, das Bedrohungsmodell zu definieren: Wie fähig sind die Leute innerhalb der Firma oder Institution im Gebiet des Einbruchs in Systeme, welche Motivation könnten sie haben, den Server anzugreifen (Bereicherung, Spaß an der Herausforderung, Vorsätzliche Schädigung).

Wenn du eine Bude voller Elitehacker hast, die sich gerne Mal einen Spaß mit der eigenen Infrastruktur erlauben, ist die Bedrohung wohl nicht zu verachten. Wenn aber nur normale, halbwegs zufriedene Bürohengste rumlaufen, die froh sind wenn sie ned mehr machen müssen als das was ihnen aufgetragen wird, ist die Bedrohung wohl vernachlässigbar..

Bei root ist die Gefahr auch in der Regel nicht dadurch gegeben, daß zuviele Leute das Passwort haben, sondern daß sich jemand den root Status einfach über eine Sicherheitslücke in irgendeinem Tool oder Service holt, der mit root Rechten läuft..

Ist das ein Server, auf dem Kunden selber ihre eigenen PHP Skripte hochladen und ihre Datenbanken verwalten können (quasi ein ISP Webserver), oder rufen die Kunden nur bestehende Webseiten ab, die intern verwaltet werden?

Immerhin, dann isses ned ganz so schlimm, wenigstens kann ned gleich jeder Depp PHP Code ausführen wie er will. In so einem Fall würde ich mich vielleicht sogar weniger um die Serversoftware sorgen, als um die Shopsoftware. Derartige Software hat ja des öfteren Mal Lücken, speziell im SQL Injection Bereich (klassisch). Daher denke ich, daß mit einem aktuell Halten der Shopskripte schon sehr viel erreicht ist. Die sollten im Optimalfall auch keine all zu schlimmen System-Abhängigkeiten haben, es sei denn neuere Versionen brauchen zwingend ein bestimmtes PHP oder SQL.

Natürlich isses dennoch ein wenig riskant, einen veralteten Apache + veraltetes SSL zu fahren, aber hier kann man wenigstens dafür sorgen, daß der Server nirgendwo seine Versionsinfos ausspuckt.

Grade geschaut, seit Mitte 2011 gab es zwar mehrere Lücken im Apache mit CVSS Level "Important" (DoS Zeug meist), aber keine "Critical" Geschichten a la root Access und Arbitrary code execution als root. Wahrscheinlich läuft euer httpd eh sowieso nicht als root.

Bei PHP gabs mehrere Criticals, aber solang niemand Code einschleusen kann, sollte das ned "so" schlimm sein.

Leider hab ich keine Aufzeichnungen von vor Mai 2011 mehr...