Våra myndigheters webbservrar

Lördagsnöje: Ladda hem listan med myndigheter från SCB och skriva ett litet script som som hämtar hem vad alla myndigheters webbservrar påstår sig vara av för sort. Alla servrar ville inte berätta, men de flesta. Jag fick sedan patcha resultatet lite för hand, men det blev nog ganska rätt. Nåväl, här är en fördelning av vilka servar som används på våra myndigheter, med versionsnummer borttagna så att det blir läsbart.

Några  kommentarer om de mer ovanliga systemen:

  • Någon har obfuskerat HTTP-servernamn på Finansinspektionen till FI. Där hostas även Bokföringsnämnden som fått webbservernamn satt till BFN.
  • Försäkringskassan har den lustiga webbservern Wooga-Woo/8.4, vilket tycks bero på att de kör Apache med mod_security och har klippt och klistrat ett konfigureringsdirektiv från Apache Cookbook eller en webbsida. Inget ont i detta.
  • Något så märkligt som Oracle-Application-Server-11g används av ILO-kommittén, vilket tycks vara en dålig idé även om CVE Score inte är höga. Servern står för övrigt i Schweiz.
  • Roxen/6.1.203-r1 tycks vara den enda Roxen i bruk. Den som var så populär en gång i tiden… Körs nu av Nordiska Afrikainstitutet. Det finns en ”r2” sedan 2017-02-13, men den tycks inte ha rättat något säkerhetsproblem.
  • Linneuniversitetet har en server som kallar sig för Puffy, vad nu det är för något.
  • Lotus-Domino, vem tusan kör detta? Jo, Södertörns högskola. Kul för er.

Nedan är en lista på de flesta övriga serverversioner som hittades. Jag har inte gjort någon djuplodande undersökning, men kommenterar ändå vissa detaljer.

Webbservertyp (i lite knäpp ordning) Förekomster Kommentar
Apache/2.2.12 (Linux/SUSE) 1 Apache från 2009. Flera problem kan finnas.
Apache/2.2.15 1 Apache från 2010. Flera problem kan finnas.
Apache/2.2.15 (CentOS) 2 Apache från 2010. Flera problem kan finnas.
Apache/2.2.15 (Red Hat) 1 Apache från 2010. Flera problem kan finnas.
Apache/2.2.22 (Debian) 1 Apache från 2012. Flera problem kan finnas.
Apache/2.2.22 (Ubuntu) 1 Apache från 2012. Flera problem kan finnas.
Apache/2.4.12 (Ubuntu) 1 Apache från 2015. Flera problem kan finnas.
Apache/2.4.18 (Ubuntu) 1 Apache från 2015. Flera problem kan finnas.
Apache/2.4.6 (CentOS) 1 Apache från 2013. Flera problem kan finnas.
Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16 1 Apache från 2013. Flera problem kan finnas. Vissa PHP buggar finns från 2013.
Apache/2.4.6 (Red Hat Enterprise Linux) OpenSSL/1.0.1e-fips PHP/5.4.16 1 Apache från 2013. Flera problem kan finnas. OpenSSL/1.0.1e verkar vara rutten. Vissa PHP buggar finns från 2013.
Apache/2.4.7 (Ubuntu) 10 Apache från 2013. Flera problem kan finnas.
Apache/2.4.7 (Ubuntu) PHP/5.5.9-1ubuntu4.22 OpenSSL/1.0.1f 1 Apache från 2013. Flera problem kan finnas. OpenSSL/1.0.1f är trasig. Många PHP-buggar från 2014 men kanske är versionsnummer missvisande.
Apache-Coyote/1.1 28 Inget ”roligare” än en XSS med CVE 4.4.
Microsoft-IIS/10.0 1 Myndigheten för delaktighet är de enda som tydligt kör på Windows Server 2016.
Microsoft-IIS/6.0 2 End Of Life 2015!
Microsoft-IIS/7.0 3 Extended Support möjlig.
Microsoft-IIS/7.5 37 Extended Support möjlig.
Microsoft-IIS/8.0 6 OK
Microsoft-IIS/8.5 72 OK. De flesta tycks köra använda IIS 8.5 på Windows Server 2012 R2. Detta har vanlig support till 2018-10-09, och utökad till 2023-10-10, för den som vill lägga pengar på fel saker.
nginx/1.1.19 1 CVE 5.0, no biggie.
nginx/1.10.0 (Ubuntu) 1 CVE 7.2, no biggie.
nginx/1.12.1 1 OK
nginx/1.6.2 1 CVE 7.2, no biggie.

Roligare än så här blev det inte. Ett par avslutande kommentarer dock:

  • Att uppdatera programvaror är uppenbarligen ganska svårt för rätt så många.
  • Vi kanske skulle inrätta en myndighet för säkerhetsuppdateringar? OBS! Ironi…
  • Säkerhetsfixar eller andra åtgärder kan ha tillämpats även på gammalt skrot.
  • Det behöver inte vara möjligt eller lätt att utnyttja eventuella sårbarheter.
  • Wooga-Woo!

2 reaktioner på ”Våra myndigheters webbservrar”

  1. Kul att någon uppmärksammat mitt val av server-header. (Wooga Woo).
    Man behövde ha något i fältet för det fick inte vara tomt (null) och jag råkade ha en fysisk kopia av boken du nämner och hade lagt det där på minnet.

    När jag stoppade in det där för 7år sedan var det något jag kompilerade in i webbservern dock.
    Sedan dess har det blivit en kul grej.

    1. Men hej! Klart roligaste servernamnet av dem alla! 🙂

      Märkligt att detta lilla pyssel fick sån spridning att du hittade hit!

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *