[Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update
(2002-06-17 19:28:12.490002+00) Druckversion
Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/06/msg00189.html
Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.
Betroffene Systeme
- Apache 1.x incl. Version 1.3.24 (auf allen Plattformen)
- Apache 2.0 incl. Version 2.0.36 und 2.0.36-dev (auf allen Plattformen)
Einfallstor
HTTP-Anfrage
Auswirkung
- Apache 1.x, insbesondere Apache 1.3.x unter Microsoft Windows: Ausführung beliebigen Programmcodes mit den Privilegien des Apache-Prozesses (remote code execution)
- Apache 2.0: Denial of Service (DoS)
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
- hoch bis sehr hoch für den Apache 1.x (in Abhängigkeit der Privilegien des Apache-Prozesses)
- mittel für die DoS-Schwachstelle in Apache 2.x
Beschreibung
Durch einen Rechenfehler wird die Länge des für chunk encoding
benötigten Puffers falsch berechnet. In der Folge weist der Apache Webserver
eine Pufferüberlaufschwachstelle auf, durch die Angreifer möglicherweise beliebigen Programmcode
über eine Netzwerkverbindung ausführen können. Der Programmcode wird mit den Privilegien
des Apache-Prozesses ausgeführt. Bei der Apache 2.x Version scheint
durch diese Schwachstelle keine Ausführung von Programmcode möglich zu sein, jedoch
kann diese Schwachstelle zu einem Denial of Service (DoS) ausgenutzt werden.
Für die Windows-Version von Apache 1.3.24 liegen glaubwürdige Berichte vor, daß Exploits entwickelt wurden, die das Ausführen beliebigen Codes erlauben. Auf 64-Bit-Plattformen ist eine Ausnutzung der Schwachstelle höchstwahrscheinlich ebenfalls möglich. Für OpenBSD, FreeBSD und NetBSD auf x86 kursiert bereits Exploit-Code. Es kann deswegen gegenwärtig nicht ausgeschlossen werden, daß dieses Problem auch für weitere 32-Bit-Plattformen äußerst gefährlich ist.
Gegenmaßnahmen
- Mittlerweile sind gepachte Apache-Versionen (1.3.26 bzw. 2.0.39) verfügbar. Auch mod_ssl wurde aktualisiert.
- Weiterhin kann ein Patch aus dem Apache-CVS eingespielt werden, der nach Kenntnis des RUS-CERT das Problem behebt. Debian-Pakete mit diesem Patch sind verfügbar.
- Hersteller-Updates sind ebenfalls verfügbar:
apachectl restart
" oder "/etc/init.d/httpd restart
" sorgen dabei lediglich dafür, daß die
Konfigurationsdatei neu geladen wird; die ungepatchte Webserver läuft
danach immer noch. Besser ist es, den Web-Server komplett zu stoppen
und wieder zu starten:
Falls Sie einen HTTPS-Server betreiben, müssen Sie eventuell als zweiten Befehl "# apachectl stop /usr/sbin/apachectl stop: httpd stopped # apachectl start /usr/sbin/apachectl start: httpd started #
apachectl startssl
" eingeben, um die
SSL-Unterstützung zu aktivieren.
Vulnerability ID
Weitere Information zu diesem Thema
- Remote Compromise Vulnerability in Apache HTTP Server (ISS X-Force)
- Vorläufige Mitteilung der Apache Foundation: Apache httpd: vulnerability with chunked encoding (VULNWATCH)
- Entgegnung von ISS X-Force zu dieser Mitteilung (BUGTRAQ)
- CERT/CC Advisory CA-2002-17
Revisionen
- V.1.0 (2002-06-17)
- V.2.0 (2002-06-19) gepachte Apache-Version 1.3.26 bzw. 2.0.39 verfügbar
- V.3.0 (2002-06-20) Einschätzung der Möglichkeit erfolgreicher Angriffe aktualisiert
Weitere Artikel zu diesem Thema:
- [Generic/Apache] Schwachstellen in Apache-Version 2.0.x (2003-05-28)
Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf. - [Generic/Apache] Apache 2.0.43 Webserver weist mehrere Schwachstellen auf (2003-01-23)
Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben. - [Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten (2002-10-07)
Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich. - [Generic/Apache 2] Schwachstelle in URL-Verarbeitung (2002-08-11)
Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.