Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-758

[MS/Apache] Designfehler ermöglicht Ausführung beliebiger Shell-Kommandos auf Microsoft-Plattformen
(2002-03-25 14:05:31+00)

Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/03/msg00334.html

Auf einer Apache-Installation unter Microsoft-Betriebssystemen können CGI-Scripte, die als Batchdatei implemetiert sind, dazu mißbraucht werden, beliebige Kommandos auf dem beherbergenden Rechnerystem auszuführen.

Betroffene Systeme

Einfallstor
Speziell formulierter URL zum Aufruf eines CGI-Skriptes
Bsp:
http://EXAMPLE.COM/cgi-bin/test-cgi.bat?|<Shell-Kommando>

Auswirkung
Ausführung beliebiger Shell-Kommandos mit dem Privilegien des Apache-Prozesses
(remote user compromise)

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Apache für Windows erlaubt die Implementierung von CGI-Skripten als Batchdatei (.bat und .cmd). Wird mittels der GET-Methode ein CGI-Skript aufgerufen, so können im URL, der zu diesem Aufruf verwendet wird, Parameter übergeben werden. Der Webserver-Prozeß startet sodann einen Shellinterpreter, dem er den Pfad der auszuführenden Batchdatei sowie die im URL angegebenen Parameter übergibt. Nach Ausführung der Batchdatei liefert der Interpreter das Ergebnis an den Webserverprozeß zurück.

Beschreibung
Ein Designfehler in der Handhabung von DOS-Batchdateien des Apache-Webservers für Microsoft Betriebssysteme erlaubt die Ausführung beliebiger Shell-Kommandos mit den Privilegien des Apache-Prozesses.

Mittels eines 'Pipe'-Zeichens ('|') als Parameter kann der URL zum Aufruf eines CGI-Skriptes, das als Batchdatei implemetiert ist, um beliebige Shell-Kommandos erweitert werden. Diese werden mit den Privilegien des Webservers ausgeführt.

Diese Schwachstelle kann mit dem in der Standardinstallation von Apache enthaltenen und installierten Test-CGI /cgi-bin/test-cgi.bat ausgenutzt werden.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=758