Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

‘Helft Apache webservers draait nog versie 1.3’

  • Door
  • Arnout Veenman
  • geplaatst op
  • 12 november 2007 07:57 uur

Onderzoek PCextreme: ‘Helft Apache webservers is nog versie 1.3?Uit onderzoek van PCextreme blijkt dat ruim de helft van de Apache webservers nog versie 1.3 draait!

Voor het onderzoek heeft PCextreme naar alle IP-adressen binnen haar netwerk een HTTP GET-request gestuurd en de resultaten daarvan opgeslagen. Totaal gaven meer dan 1.500 IP-adressen een geldige response, de response kwam in 91 procent Apache, 5 procent Microsoft IIS, 1 procent lighttpd en 3 procent kwam de response van een ander soort webserver.

Van de Apache webservers gaf 56 procent het exacte versie nummer aan. Hieronder waren maar liefst 52 procent Apache webservers die nog draaiden op een versie 1.3, 26 procent versie 2.0, 15 procent versie 2.2 en 7 procent een andere of niet gespecificeerde versie 2.x.

Wido den Hollander, CSO PCextreme:

Wat opvalt is dat servers die de 1.3 branch gebruiken vaker outdated zijn. Dit kan onder andere komen doordat veel controle panelen, zoals DirectAdmin tot voorkort, standaard nog de 1.3 branch installeerde. De praktijk wijst echter uit dat veel beheerders van systemen met een standaard controle paneel zich niet bezig houden met updates, waardoor die servers snel verouderd raken.

De overstap naar de 2.x branch is daarintegen een bewuste stap, wat er voor zorgt dat de beheerder zich ook bewust wordt van versie updates. Hierdoor lijkt het dat in de 2.0 branch beter wordt ge-update.

Tegenwoordig beginnen controle panelen, DirectAdmin bijvoorbeeld, al standaard de 2.2 branch te installeren. Met enkele jaren zullen we dus het zelfde beeld over de 2.2 branch zien.

De gevonden versies van Apache:

PCextreme onderzoek: Apache versies

famicon, 12 november 2007 8:34 am

"De praktijk wijst echter uit dat veel beheerders van systemen met een standaard controle paneel zich niet bezig houden met updates"

De meeste Direct admin lutsers houden zich sowiso over het algemeen niet bezig met systeem beheer.

Verder is de ophef over de 1.3 branch onzinnig gezien de apache foundation nog steeds actief patches released.

Jurrian, 12 november 2007 8:38 am

Ik zou qua security zelf VOOR 1.3 boven 2.x pleitten: in 1.3 worden geen nieuwe zaken meer toegevoegd (=nieuwe bugs), alleen bugs verholpen. In 2.x worden wel nieuwe zaken (=nieuwe bugs) toegevoegd.

Ook versienummer zegt niets: Debian bv. houdt om dezelfde reden als hierboven altijd een wat oudere versie aan, maar bij ontdekte bugs patchen ze deze... je draait dan op een oude versie, maar deze is wel veilig.

Glenn, 12 november 2007 11:07 am

[quote]
Voor het onderzoek heeft PCextreme naar alle IP-adressen binnen haar netwerk een HTTP GET-request gestuurd (...)
[/quote]
Hoewel er niet een heel duidelijk negatieve conclusie wordt genoemd, zet je je eigen klanten (lees: eigen netwerk) wel in een bepaald daglicht. Zo van: 50% van mijn klanten heeft een outdated versie. Zullen de klanten leuk vinden.

Of bekijk ik het nu te negatief?

Noname, 12 november 2007 11:30 am

Leuk dat PcExtreme weer wil laten dat zij het beter doen dan de rest.

Er staat mij een topic bij op Webhostingtalk.nl (vrij recent) waar Wido zelf aangeeft nog veel de 1.3 versie te draaien dan wel het versienummer te verwijderen.

Het verwijderen van een versienummer is dan wel goed voor de security, maar nog geen reden om de waan te wekken dat je het beter zou doen dan de rest ;)

Hendriks, 12 november 2007 11:42 am

Ik vind een onderzoek als dit, wat niet verder gaat dan hun eigen netwerk, niet een volwaardig onderzoek.

Mi zou het topic titel dan ook moeten zijn "helft van de servers in het PC Extreme netwerk draait nog op Apache 1.3".

Wij draaien wellicwaar niet meer op 1.3 maar be het wel eens met de reactie van Jurrian dan wanneer men nog draait op 1.3 dat dit niet negatief moet zijn.

Wido, 12 november 2007 12:04 pm

Ho, ik zeg zeker niet dat 1.3 draaien "slecht" is, qua security is dat nog prima te doen.

Ik zie alleen dat er een klein stukje over backporten niet is meegekomen.

Inderdaad, Debian, Ubuntu, Fedora (?), CentOS (?) backporten veel software waarbij ze het versie nummer niet verhogen.

Wanneer je echter kijkt naar de versies, zie je dat er versies worden gedraaid die nooit door een distributie worden uitgegeven, zoals bijvoorbeeld Apache 1.3.37.

Debian heeft alleen Apache 1.3.33 uitgegeven. Wanneer je dus een 1.3.37 tegen komt, weet je dat hier geen backporting plaats vindt.

Overigens draaien wij zelf geen Apache 1.3 meer, dit vanwege de performance winst die 2.x oplevert vs 1.3

Waar ik op doel is dat ik merk (en ik scan ook het internet af) is dat er weinig wordt ge-update. Je ziet veelal de standaard banners. Controleer je dan ook nog of de standaard poorten van Plesk, DA of cPanel open staan en je hebt het complete plaatje.

Er zijn uitzonderingen waar men zelf backport of hun versienummer aanpassen omdat 1.3.37 (l33t) er zo leuk uit ziet, maar die groep valt uiteraard in het niets weg tegenover de massa.

Glenn, 12 november 2007 12:05 pm

Ok, duidelijk, maar wat is dan wel de nieuwswaarde van het onderzoek? Ik dacht namelijk dat je wilde aantonen dat er een securityprob is.

Wido, 12 november 2007 12:09 pm

Dat security prob is er zeker, want zoals je ziet worden er veel versies gedraaid die nooit door een distro zijn uitgegeven, wat impliceert dat men dus gebruik maakt van bijvoorbeeld customapache in DirectAdmin om een server te installeren.

Systeem wordt geinstalleerd en daarna wordt er niet naar gekeken. Mijn idee is ook dat wanneer je het patroon bij alleen de webserver al ziet, dat het ook voor de rest van het OS geld.

Daarnaast zie je bijvoorbeeld bij debian als banner: Apache 2.0.54 (Debian GNU Linux)

Zie je als banner: Apache 1.3.37 (Unix), dan weet je al voor 99% zeker dat deze zelf gecompiled is.

Ik had dit ook in mijn onderzoek staan, dat is alleen niet meegekomen.

Randy, 12 november 2007 2:40 pm

Bekijk maar eens de standaars OpenSSL 0.9.7a die geinstalleerd wordt door DA...

Ronald, 12 november 2007 3:04 pm

Jammer dat de titel van het Artikel van geen kanten klopt.
Er moest staan;

' De helft van PCX klanten draait nog 1.3 ! '

Maar objectief zijn we weer niet, dus dan zo maar.
Het begint hier steeds meer een Webwereld II te worden.

Robbert, 12 november 2007 3:57 pm

Ik vraag me af wat nou de nieuwswaarde van dit artikel is... Verder lijkt mij het geen slimme zet om je eigen klantenbestand te controleren op welke versies ze draaien, dat is toch hun eigen verantwoordelijkheid en schend je hiermee niet de privacy van je klanten?

Dit soort informatie ga je toch niet naar buiten brengen met als onderwerp "Wij hebben klanten die nog op die en die versie draaien, eng he!"

Dus is het zinvol om deze informatie te vermelden?

Wido, 12 november 2007 4:02 pm

Iedereen kan scannen, bots gaan dagelijks het internet rond.

Ik kan elk netwerk wat ik wil scannen op HTTP poorten en daar gewoon een valide GET request doen en zelf deze informatie opvragen.

Privacy? Nee, men heeft er voor gekozen hun server te laten reageren op HTTP verzoeken vanaf elk IP-adres.

Wij hebben de scans overigens uitgevoerd van buiten ons netwerk.

We gaan ook de klanten met outdated Apache's op de hoogte stellen van de gevaren en ze vertellen hoe te updaten. Want outdated servers zijn ook voor ons netwerk een gevaar.

Ik denk juist dat het zinvol is voor iedereen om dit in zijn eigen netwerk te draaien en te kijken wat je vindt.

Dat geeft je ook een goed beeld van de aanwezige software in je netwerk.

Robbert, 12 november 2007 4:07 pm

Maar waarom zou je niet aan de buitenwereld bekend maken? Wat voor nieuwswaarde heeft dat?

Ookal reageren servers op HTTP verzoeken, dit betekend nog niet dat deze informatie online op een nieuwswebsite hoeft te komen.

Stuur je klanten een E-mail dat ze de software goed up2date moeten houden, maar moet dit via een website??

Ach alles voor gratis reclame toch? :)

Stewie, 12 november 2007 4:44 pm

Zoals altijd op ISPam: ISP doet net dat ene beetje extra dat de concurrentie nalaat maar in de comments is natuurlijk iedereen het mannetje....

Waarin zal de PCX colo gebruikersgroep verschillen van die van andere hosters? Voornamelijk MKB? Lijkt me toch een representatieve groep om dit soort onderzoekjes mee te doen.

Ronald, 12 november 2007 7:01 pm

MKB? Nee, kleuters ;)

tdw, 12 november 2007 7:42 pm

@Ronald: Ja, jammer he, dat je geen klanten kunt krijgen?

Heel fijn allemaal, ik ben het ook niet altijd eens met PCextreme, maar de titel klopt. Het is een citaat, en dat behoor je niet te wijzigen. Dat dit niet voor de hele wereld geld kan kloppen, maar ik denk wel dat het een aardig beeld geeft van de draaiende apache-versies.

@Robbert: Het naar buiten brengen van dit nieuws is dat hosters zich eventueel achter de oren zouden kunnen krabben van: 'Tsja, hoe zit dat nu?' of: 'Misschien hebben ze gelijk'.

Ronald, 12 november 2007 8:26 pm

Ah, tdw is er ook klant :)
Leuk dat dat er altijd uit te halen is.
Maar ik ben geen hoster, dus maak je niet druk, ik heb geen klanten nodig.

Maar je hebt gelijk, de titel is een citaat, even overheen gekeken.

Het zal wel komkommertijd zijn!

Gijs, 12 november 2007 11:23 pm

@Stewie:

Nee, dat zie je verkeerd. $hoster doet reclamestunt en de rest is daar pissed off over ;)

Wat mij betreft, leuk initatief maar verkeerd uitgevoerd. Aangezien het geen schending van privacy is zoals Wido stelt had hij net zo goed ff zn nmapje ook over de ranges van andere grote providers kunnen laten rollen(Of maakt ranges afscannen voor HTTP versionning minder illegaal/ongewenst als het op je eigen netwerk gebeurt?).

Op die manier had hij een veel groter bereik gehad was er dus objectiever onderzoeksresultaat geweest. Vraag me trouwens wel af of PCExtreme hun Utopia-beloftes gaan waarmaken en ook daadwerkelijk hun klanten gaan mailen dat ze hun Apache moeten upgraden. Ben benieuwd! :)

Wido, 13 november 2007 9:03 am

@ Gijs, dat informeren ga ik zeker doen, alleen moet ik nog bekijken op welke manier.

We kunnen een algemene mailing de deur uit doen en daar alle klanten (colo/dedi) op de hoogte stellen van ons onderzoek en tegelijk ook de noodzaak van updaten aankaarten.

Of we kunnen elke klant apart aanschrijven, maar dan missen we dus het stukje bewustwording onder alle klanten.

Het "hoe" moet nog even bekeken worden.

En inderdaad, ik heb expres alleen in ons netwerk gesniffed, dat leek me inderdaad wat gewenster.

Arjan Bijnen, 14 november 2007 10:53 pm

Uiteraard zijn er op tal van andere websites betrouwbaardere metingen te bewonderen.

Wido, 15 november 2007 8:55 am

Arjan, leg mij uit wat er niet betrouwbaar aan is. Ik leg duidelijk in het kader uit dat dit onderzoek alleen in ons netwerk is uitgevoerd.

Je kan het ook anders bekijken, van: Een hoster draait zelf vooral op Linux, wat voor een klanten trekt deze aan? Komen er ook veel Windows servers of draait men toch vooral Linux?

Ik geef alleen meer informatie en daar kan iedereen mee doen wat hij wil. Je kan het naar /dev/null sturen of er uit halen wat je wil.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.