Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-507

[Generic/ht://Dig] Schwachstelle im htsearch-CGI-Programm
(2001-10-11 18:40:51+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00052.html

In htsearch, dem CGI-Bestandteil von ht://Dig, ist eine Schwachstelle entdeckt worden, die einem Angreifer erlaubt, htsearch zur Verwendung einer anderen Konfigurationsdatei zu verleiten.

Betroffene Systeme

Einfallstor
HTTP-Requests; weitergehende Angriffe benötigen eine Möglichkeit, Dateien auf dem betroffenen Server anzulegen oder zu verändern (z.B. über FTP- oder HTTP-Upload oder anderen Netzzugriff, es reicht auch, Mail an eine Mailbox zu schicken, die unter der User-ID, unter der der htsearch-Prozeß läuft, gelesen werden kann).

Auswirkung
Verwendung einer anderen Konfigurationsdatei, überzogener Ressourcenverbrauch (und dadurch mittelbar Denial of Service); falls der Angreifer Dateien auf dem Server erstellen kann, Auslesen beliebiger Dateien, die für die User-ID des htsearch-Prozesses lesbar sind.

Typ der Verwundbarkeit
Denial of Service (DoS), remote file disclosure

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
ht://Dig ist ein Programmpaket, um die eigenen Webseiten mit einer Suchfunktion zu versehen. Neben dem Volltextindizierer gibt es auch ein CGI-Programm namens htsearch, welches typischerweise vom Webserver nach entsprechenden HTTP-Requests ausgeführt wird. Im HTTP-Request können zusätzliche Kommandozeilenparameter enthalten sein, die htsearch anweisen, eine andere Konfigurationsdatei zu verwenden. Falls als Konfigurationsdatei ein Gerätedatei wie /dev/zero angegeben wird, verbraucht der htsearch-Prozeß sehr viele Ressourcen. Falls es einem Angreifer gelingt, einer Datei eine Zeile wie

nothing_found_file: /etc/passwd
hinzuzufügen, kann der Angreifer damit beliebige, für den htsearch-Prozeß lesbare Dateien auslesen.

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=507