Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-863

[Generic/mod_ssl] Pufferüberlauf in der .htaccess-Verarbeitung
(2002-06-29 14:36:03.321892+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/06/msg00338.html

Aufgrund eines Fehlers in der Verarbeitung von .htacces-Dateien durch mod_ssl können Angreifer, die .htacces-Dateien verändern kónnen, beliebigen Code auf dem Webserver ausführen.

Betroffene Systeme

Einfallstor
spezielle gestaltete .htaccess-Datei

Auswirkung
Ein Benutzer, der in der Lage ist, .htaccess-Dateien auf dem Server zu verändern, die auch tatsächlich von Apache interpretiert werden, kann beliebigen Code mit den Rechten des httpd-Kindprozesses ausführen (häufig sind dies die Rechte des Accounts "nobody" oder "www-data").

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis hoch in bestimmten Hosting-Umgebungen
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Bei der Verarbeitung von .htaccess-Dateien durch mod_ssl kann es zu einem Pufferüberlauf kommen. Um diese Schwachstelle auszunutzen, muß ein Angreifer eine .htaccess-Datei ändern, die auch tatsächlich von Apache interpretiert wird. Folgende Voraussetzungen müssen daher erfüllt sein:

Ein erfolgreicher Angriff ermöglicht dem Angreifer, beliebigen Programmcode mit den Rechten der httpd-Kindprozesse auszuführen. Dadurch kann beispielsweise der Webserver effektiv gestoppt werden (Denial of Service, DoS), oder es können die vom Server gelieferten Daten manipuliert werden.

Gegenmaßnahmen
Beide der folgenden Gegenmaßnahmen sollten durchgeführt werden.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=863