Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-382

[Mac/Apache] Schwachstelle im Apache Webserver auf Max OS X und HFS+ Dateisystem
(2001-06-13 14:36:56+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00110.html

Das HFS+ Dateisystem für Max OS X Clients unterscheidet nicht zwischen Groß- und Kleinschreibung bei der Bezeichnung von Objekten. Der Datei- und Verzeichnisschutz des Apache Webservers berücksichtigt dies nicht, wodurch ein Angreifer auf "geschützte" Webseiten zugreifen kann.

Betroffene Systeme

  • Max OS X 10.0.3 / Darwin 1.3.3 mit Apache 1.3.14

Auswirkung
Unautorisierter Zugriff auf "geschützte" Webseiten

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Typ der Verwundbarkeit
Designschwäche (design flaw)
Der Apache Webserver berücksichtigt nicht, daß das HFS+ Dateisystem unter Max OS X keine Groß- und Kleinschreibung beachtet.

Beschreibung
Das HFS+ Dateisystem für Max OS X Clients unterscheidet bei der Bezeichnung von Filesystem-Objekten nicht zwischen Groß- und Kleinschreibung. Der Zugriffsschutz des Apache Webservers berücksichtigt diese Einschränkung bei der Konfiguration geschützter Objekte nicht. Dies erlaubt Angreifern, durch geeignete Formulierung der URLs "geschützte" Verzeichnisse oder Dateien, auszulesen.

Beispiel:
folgende Datei sei gegeben:

/Library/WebServer/Documents/test/index.html


Außerdem sei folgende Konfiguration gegeben:

DocumentRoot "/Library/WebServer/Documents/"

und

<Location /test>
Order deny,allow
Deny from all
</Location>


oder alternativ unter Benutzung einer Directory-Regel:

<Directory /Library/WebServer/Documents/test>
Order deny,allow
Deny from all
</Directory>


Die Anfrage:

GET /test/index.html
liefert nun Fehlermeldung

403 Forbidden

zurück. Jedoch liefert
GET /Test/index.html
die Datei /test/index.html zurück, obwohl sie im "geschützten" Verzeichnis /test liegt. Man beachte, daß lediglich statt eines kleinen 't' nun ein großes 'T' angegeben wurde.

Mac OS X Server mit dem mod_hfs_apple.so Apache Modul sind von dieser Schwachstelle nicht betroffen.

Workaround

  • Da die Schwachstelle im Zusammenhang mit dem HFS+ Dateisystem auftritt, könnte ein Wechsel des Dateisystems (auf UFS) das Problem beseitigen.
  • Das mod_hfs_apple.so Apache Modul des Mac OS X Servers beseitigt diese Schwachstelle. Allerdings ist dieses Modul derzeit nur als Bestandteil des Mac OS X Server verfügbar.
(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.