Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-719

[Generic/mod_ssl] Pufferüberlauf im Apache Modul mod_ssl
(2002-02-28 12:40:00+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/02/msg00377.html

Durch einen Pufferüberlauffehler im Modul mod_ssl für den weitverbreiteten Webserver Apache kann möglicherweise beliebiger Programmcode ausgeführt werden.

Betroffene Systeme

Einfallstor
SSL-Verbindungen (TCP-Port 443)

Auswirkung
Kompromittierung des Benutzers, unter dem der Webserver läuft.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
mod_ssl ist ein weitverbreitetes Modul, um starke Verschlüsselung in den Webserver Apache einzubinden. Es benutzt eine Routine aus der OpenSSL-Bibliothek in einer Weise, die einen Pufferüberlauf erzeugen kann.

Bei der Zwischenspeicherung der Sitzungsdaten benutzt die dbm- und shared memory-Unterstützung die Routine i2d_SSL_SESSION() aus der OpenSSL-Bibliothek. Allerdings wird nicht berücksichtigt, daß keine obere Schranke für die Länge der von der Routine geschriebenen Daten existert. Der statische Puffer, welcher für diese Speicherung genutzt wird, kann folglich mit zuviel Daten gefüllt und somit andere Speicherbereiche überschrieben werden.

Es sind derzeit keine Angriffe, die diese Schwachstelle ausnutzen, bekannt. Auch die Notwendigkeit, ein spezielles, aber dennoch (im CA-technischen Sinne) vertrauenswürdiges Client-Zertifikat für den Angriff verwenden zu müssen, kann angesichts der häufig automatischen Generierung von Zertifikaten nicht als wirkliches Hindernis betrachtet werden. Die Erfahrung zeigt zudem, daß es gefährlich ist, schwierig bis unmöglich ausnutzbar scheinende Angriffsmöglichkeiten zu ignorieren.

Workaround

Gegenmaßnahmen

(bl)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=719