Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben.

Betroffene Systeme

• Apache 2.0.x (vor Version 2.0.44)

Einfallstor
HTTP/HTTPS-Anfrage an den Webserver (typischerweise TCP-Port 80/443)

Auswirkung

1. Ausführung von Programmcode sowie Denial of Service (DoS)
2. Auslesen beliebiger Dateien

Typ der Verwundbarkeit

1. Fehlendes Abfangen von MS-DOS-Device-Namen
2. Fehler im Parser für URLs

Gefahrenpotential
hoch bis sehr hoch (wobei nur Microsoft-Windows-Plattformen betroffen sind)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mit der Ankündigung von Apache 2.0.44 wurde bekanntgegeben, dass frühere Versionen (incl. Apache 2.0.43) folgende Schwachstellen aufweisen:

1. Microsoft Windows 9x/Me weist eine seit langer Zeit bekannte Schwachstelle im Zusammenhang mit MS-DOS-Device-Namen auf. So führen Pfadangaben, die "COM1, CON, LPT1, ..." beinhalten, zu einem Denial of Service. Microsoft stellt seit März 2000 einen Patch bereit. Der Apache Webserver 2.0.x unter Windows 9x/Me ist davon ebenfalls betroffen, wodurch mittels einer HTTP-Anfrage, die einen MS-DOS-Device-Namen beinhaltet, ein Denial of Service möglich ist. Ferner scheint die Ausführung von Programmcode, durch Senden eines POST-Request der MS-DOS-Device-Namen beinhaltet, möglich zu sein.
2. Der Apache 2.0.x-Webserver auf Microsoft-Windows-Plattformen weist eine Schwachstelle bei der Verarbeitung von URLs, die angefügte Zeichen wie "<" beinhalten auf. Der Webserver liefert bei solchen URLs nicht die angefragte Datei, sondern vielmehr eine andere Datei zurück. Diese Schwachstelle kann möglicherweise dazu ausgenutzt werden, beliebige Dateien auf dem System auszulesen.

Gegenmaßnahmen
Update auf Apache 2.0.44

• http://httpd.apache.org/download.cgi

Vulnerability ID

• CAN-2003-0016
• CAN-2003-0017

Weitere Artikel zu diesem Thema:

• [Warnung/Angriff] Wettbewerb zum Website-Defacement angekündigt (2003-07-04)
  Am kommenden Sonntag (2003-07-06) soll ein großer Website-Defacement-Wettbewerb stattfinden. Es ist daher mit vermehrten Angriffen auf Rechnersysteme zu rechnen, die einen Webserver betreiben. Webserveradministratoren sind angehalten, ihre Server umfassend auf Schwachstellen zu untersuchen und diese zu beheben.
• [Generic/Apache] Schwachstellen in Apache-Version 2.0.x (2003-05-28)
  Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf.
• [Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten (2002-10-07)
  Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.
• [Generic/Apache] Cross-Site-Scripting über die Fehlerseite (2002-10-07)
  Eine Schwachstelle in Apache ermöglicht Cross-Site-Scripting über die Fehlerseite (404 document).
• [Generic/Apache 2] Schwachstelle in URL-Verarbeitung (2002-08-11)
  Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.
• [Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update (2002-06-17)
  Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/