[Mac/Apache] Schwachstelle im Apache Webserver auf Max OS X und HFS+ Dateisystem
(2001-06-13 14:36:56+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00110.htmlDas HFS+ Dateisystem für Max OS X Clients unterscheidet nicht zwischen Groß- und Kleinschreibung bei der Bezeichnung von Objekten. Der Datei- und Verzeichnisschutz des Apache Webservers berücksichtigt dies nicht, wodurch ein Angreifer auf "geschützte" Webseiten zugreifen kann.
Betroffene Systeme
- Max OS X 10.0.3 / Darwin 1.3.3 mit Apache 1.3.14
Auswirkung
Unautorisierter Zugriff auf "geschützte" Webseiten
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Typ der Verwundbarkeit
Designschwäche (design flaw)
Der Apache Webserver berücksichtigt nicht, daß das HFS+ Dateisystem unter Max OS X keine Groß- und Kleinschreibung beachtet.
Beschreibung
Das HFS+ Dateisystem für Max OS X Clients unterscheidet bei der Bezeichnung von Filesystem-Objekten nicht zwischen Groß- und Kleinschreibung. Der Zugriffsschutz des Apache Webservers berücksichtigt diese Einschränkung bei der Konfiguration geschützter Objekte nicht. Dies erlaubt Angreifern, durch geeignete Formulierung der URLs "geschützte" Verzeichnisse oder Dateien, auszulesen.
Beispiel:
folgende Datei sei gegeben:
/Library/WebServer/Documents/test/index.html
Außerdem sei folgende Konfiguration gegeben: DocumentRoot "/Library/WebServer/Documents/"
und <Location /test>
Order deny,allow
Deny from all
</Location>
oder alternativ unter Benutzung einer Directory-Regel: <Directory /Library/WebServer/Documents/test>
Order deny,allow
Deny from all
</Directory>
Die Anfrage:
GET /test/index.htmlliefert nun Fehlermeldung
403 Forbidden
zurück. Jedoch liefert
GET /Test/index.htmldie Datei
/test/index.html zurück, obwohl sie im "geschützten" Verzeichnis /test liegt. Man beachte, daß lediglich statt eines kleinen 't' nun ein großes 'T' angegeben wurde.
Mac OS X Server mit dem mod_hfs_apple.so Apache Modul sind von dieser Schwachstelle nicht betroffen.
Workaround
- Da die Schwachstelle im Zusammenhang mit dem HFS+ Dateisystem auftritt, könnte ein Wechsel des Dateisystems (auf UFS) das Problem beseitigen.
- Das
mod_hfs_apple.soApache Modul des Mac OS X Servers beseitigt diese Schwachstelle. Allerdings ist dieses Modul derzeit nur als Bestandteil des Mac OS X Server verfügbar.
Weitere Artikel zu diesem Thema:
- [Mac/Apache] Schwachstelle im Zusammenspiel von Finder und Apache (2001-09-11)
Der Finder des Mac OS legt automatisch Dateien an, die dazu führen, daß über einen Apache-Webserver Listen von Verzeichniseinträgen ausgelesen werden können, obwohl dies durch die Apache-Konfiguration untersagt ist.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=382