Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-985

[Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten
(2002-10-07 13:30:47.579434+00) Druckversion


Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.

Betroffene Systeme

  • Systeme, die Apache 2.0.42 verwenden.
Andere Versionen von Apache 2.0 sollen von dem Problem nicht betroffen sein, ebensowenig wie Apache 1.3.

Einfallstor
HTTP-Requests

Auswirkung
Der Quelltext von CGI-Skripten kann ausgelesen werden.

Typ der Verwundbarkeit
source code disclosure

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Falls in einem Webserver-Verzeichnis sowohl die Ausführung von CGI-Programmen, als auch WebDAV-Unterstützung aktiviert ist, kann über einen POST-Request das CGI-Programm (also dessen Quelltext, falls es sich um ein Skript handelt) ausgelesen werden.

Gegenmaßnahmen

  • Upgrade auf Apache 2.0.43.
  • Kritische Daten wie Paßwörter sollten nie im Quellcode von CGI-Skripten abgelegt werden, da Fehler wie der hier beschriebene hin und wieder vorkommen (insbesondere durch Fehlkonfiguration der Server-Software).

Vulnerability ID

Weitere Information zu diesem Thema

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.