Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf.

Betroffene Systeme

• Apache 2.0.37-2.0.45 (einschließlich)

Nicht betroffene Systeme

• Apache 2.0.46
• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.
• Apache 1.3.x enthält den betroffenen Code nicht und ist daher über diese Schwachstellen nicht verwundbar.

Einfallstor
HTTP/HTTPS-Anfrage an den Webserver (typischerweise TCP-Port 80/443)

Auswirkung

1. möglichrweise Ausführung beliebigen Programmcodes
2. mindestens die Nichtverfügbarkeit des Webservers (DoS)

Typ der Verwundbarkeit

1. CAN-2003-0245: offenbar Fehler in der Speicherverwaltung/im Umgang mit Zeigern
2. CAN-2003-0189: race condition zwischen verschienden Threads

Gefahrenpotential
sehr hoch (siehe unten)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Apache-Webserver-Version 2.0.x weist zwei möglicherweise gravierende Schwachstellen auf.

1. Eine Schwachstelle betrifft die Apache-Webserver-Versionen 2.0.37 - 2.0.45. Eine generische Bibliotheksfunktion enthält offenbar einen Fehler im Umgang mit Zeigern. Einige Quellen nennen ein aktives WebDAV-Modul (mod_dav) als Voraussetzung für eine Verwundbarkeit, da es sich aber um eine allgemeinere Funktion handelt, existieren möglicherweise weitere Einfallstore. Details zu dieser Schwachstelle sollen am Freitag, 2003-05-30, veröffentlicht werden (auf deutsche Feier- und Brückentage wird leider in solchen Dingen nicht Rücksicht genommen).
2. Die zweite Schwachstelle betrifft offenbar Authentifizierungsmodule im Apache-Webserver 2.0.40 - 2.0.45 und soll zumindest zu einem Denial of Service (DoS) Angriff ausgenutzt werden können. Sie ist nur auf Systemen akut, auf denen Apache ein Multi-Threading-MPM (Multi-Processing-Module, kritisch ist beispielsweise worker) verwendet, und die crypt()-Implementierung nicht reentrant ist (also z.B. GNU/Linux, nicht aber Solaris). Derartige Synchronisationsfehler in Multithreading-Programmen sind nicht besonders gut auf Angriffsmöglichkeiten untersucht, so daß die tatsächlichen Konsequenzen dieser Schwachstelle ebenfalls unklar sind.

Gegenmaßnahmen
Update auf Apache 2.0.46

• http://httpd.apache.org/download.cgi

Vulnerability ID

• CAN-2003-0245
• CAN-2003-0189

Weitere Information zu diesem Thema

• [RHSA-2003:186-01] Updated httpd packages fix Apache security vulnerabilities

Weitere Artikel zu diesem Thema:

• [Warnung/Angriff] Wettbewerb zum Website-Defacement angekündigt (2003-07-04)
  Am kommenden Sonntag (2003-07-06) soll ein großer Website-Defacement-Wettbewerb stattfinden. Es ist daher mit vermehrten Angriffen auf Rechnersysteme zu rechnen, die einen Webserver betreiben. Webserveradministratoren sind angehalten, ihre Server umfassend auf Schwachstellen zu untersuchen und diese zu beheben.
• [Generic/Apache] Apache 2.0.43 Webserver weist mehrere Schwachstellen auf (2003-01-23)
  Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben.
• [Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten (2002-10-07)
  Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.
• [Generic/Apache] Cross-Site-Scripting über die Fehlerseite (2002-10-07)
  Eine Schwachstelle in Apache ermöglicht Cross-Site-Scripting über die Fehlerseite (404 document).
• [Generic/Apache 2] Schwachstelle in URL-Verarbeitung (2002-08-11)
  Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.
• [Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update (2002-06-17)
  Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/