RUS-CERT-466 – Archivierte Meldung

Meldung Nr: RUS-CERT-466

[Mac/Apache] Schwachstelle im Zusammenspiel von Finder und Apache
(2001-09-11 15:48:06+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00106.html

Der Finder des Mac OS legt automatisch Dateien an, die dazu führen, daß über einen Apache-Webserver Listen von Verzeichniseinträgen ausgelesen werden können, obwohl dies durch die Apache-Konfiguration untersagt ist.

Betroffene Systeme

Mac-OS-X-Systeme, die Apache als Webserver verwenden.

Mac OS X Server ist vermutlich von diesem Problem nicht betroffen.

Einfallstor
HTTP-Requests

Auswirkung
Preisgabe von Verzeichniseinträgen

Typ der Verwundbarkeit
Falsch gesetzte Dateirechte

Gefahrenpotential
niedrig (Die Sicherheit von Webseiten sollte nicht davon abhängen, ob URLs zu den einzelnen Dokumenten bekannt sind oder nicht.)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Finder legt automatisch versteckte Dateien (d.h. solche, deren Namen mit einem Punkt beginnt) an, die unter anderem eine Auflistung der Verzeichniseinträge enthalten. Diese Dateien sind über einen Apache-Server über das Netz zugänglich, wodurch ein vorhandener Ausschluß der Verzeichnis-Auflistung (durch eine existierende index.html-Datei oder geeignete Konfiguration) ausgehebelt werden kann.

Gegenmaßnahmen

Blockade von Requests auf diese Dateien mittels folgender Apache-Konfiguration:
```
<FilesMatch "^\.[Dd][Ss]_[Ss]">
Order allow,deny
Deny from all
</FilesMatch>
```

Gegenwärtig scheint es nicht ratsam, die Workstation-Version von Mac OS X für den Serverbetrieb zu verwenden, da noch vergleichsweise wenig Erfahrungen zu Stolpersteinen vorliegen.

(fw)

Weitere Artikel zu diesem Thema:

[Mac/Apache] Schwachstelle im Apache Webserver auf Max OS X und HFS+ Dateisystem (2001-06-13)
Das HFS+ Dateisystem für Max OS X Clients unterscheidet nicht zwischen Groß- und Kleinschreibung bei der Bezeichnung von Objekten. Der Datei- und Verzeichnisschutz des Apache Webservers berücksichtigt dies nicht, wodurch ein Angreifer auf "geschützte" Webseiten zugreifen kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=466