Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-382

[Mac/Apache] Schwachstelle im Apache Webserver auf Max OS X und HFS+ Dateisystem
(2001-06-13 14:36:56+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00110.html

Das HFS+ Dateisystem für Max OS X Clients unterscheidet nicht zwischen Groß- und Kleinschreibung bei der Bezeichnung von Objekten. Der Datei- und Verzeichnisschutz des Apache Webservers berücksichtigt dies nicht, wodurch ein Angreifer auf "geschützte" Webseiten zugreifen kann.

Betroffene Systeme

Auswirkung
Unautorisierter Zugriff auf "geschützte" Webseiten

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Typ der Verwundbarkeit
Designschwäche (design flaw)
Der Apache Webserver berücksichtigt nicht, daß das HFS+ Dateisystem unter Max OS X keine Groß- und Kleinschreibung beachtet.

Beschreibung
Das HFS+ Dateisystem für Max OS X Clients unterscheidet bei der Bezeichnung von Filesystem-Objekten nicht zwischen Groß- und Kleinschreibung. Der Zugriffsschutz des Apache Webservers berücksichtigt diese Einschränkung bei der Konfiguration geschützter Objekte nicht. Dies erlaubt Angreifern, durch geeignete Formulierung der URLs "geschützte" Verzeichnisse oder Dateien, auszulesen.

Beispiel:
folgende Datei sei gegeben:

/Library/WebServer/Documents/test/index.html


Außerdem sei folgende Konfiguration gegeben:

DocumentRoot "/Library/WebServer/Documents/"

und

<Location /test>
Order deny,allow
Deny from all
</Location>


oder alternativ unter Benutzung einer Directory-Regel:

<Directory /Library/WebServer/Documents/test>
Order deny,allow
Deny from all
</Directory>


Die Anfrage:

GET /test/index.html
liefert nun Fehlermeldung

403 Forbidden

zurück. Jedoch liefert
GET /Test/index.html
die Datei /test/index.html zurück, obwohl sie im "geschützten" Verzeichnis /test liegt. Man beachte, daß lediglich statt eines kleinen 't' nun ein großes 'T' angegeben wurde.

Mac OS X Server mit dem mod_hfs_apple.so Apache Modul sind von dieser Schwachstelle nicht betroffen.

Workaround

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=382