Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-466

[Mac/Apache] Schwachstelle im Zusammenspiel von Finder und Apache
(2001-09-11 15:48:06+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00106.html

Der Finder des Mac OS legt automatisch Dateien an, die dazu führen, daß über einen Apache-Webserver Listen von Verzeichniseinträgen ausgelesen werden können, obwohl dies durch die Apache-Konfiguration untersagt ist.

Betroffene Systeme

  • Mac-OS-X-Systeme, die Apache als Webserver verwenden.
Mac OS X Server ist vermutlich von diesem Problem nicht betroffen.

Einfallstor
HTTP-Requests

Auswirkung
Preisgabe von Verzeichniseinträgen

Typ der Verwundbarkeit
Falsch gesetzte Dateirechte

Gefahrenpotential
niedrig (Die Sicherheit von Webseiten sollte nicht davon abhängen, ob URLs zu den einzelnen Dokumenten bekannt sind oder nicht.)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Finder legt automatisch versteckte Dateien (d.h. solche, deren Namen mit einem Punkt beginnt) an, die unter anderem eine Auflistung der Verzeichniseinträge enthalten. Diese Dateien sind über einen Apache-Server über das Netz zugänglich, wodurch ein vorhandener Ausschluß der Verzeichnis-Auflistung (durch eine existierende index.html-Datei oder geeignete Konfiguration) ausgehebelt werden kann.

Gegenmaßnahmen

  • Blockade von Requests auf diese Dateien mittels folgender Apache-Konfiguration:
    <FilesMatch "^\.[Dd][Ss]_[Ss]">
    Order allow,deny
    Deny from all
    </FilesMatch>
    
Gegenwärtig scheint es nicht ratsam, die Workstation-Version von Mac OS X für den Serverbetrieb zu verwenden, da noch vergleichsweise wenig Erfahrungen zu Stolpersteinen vorliegen.

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.