Durch einen Pufferüberlauffehler im Modul mod_ssl für den weitverbreiteten Webserver Apache kann möglicherweise beliebiger Programmcode ausgeführt werden.

Betroffene Systeme

• Apache Webserver mit akivem mod_ssl-Modul vor Version 2.8.7-1.3.23

Einfallstor
SSL-Verbindungen (TCP-Port 443)

Auswirkung
Kompromittierung des Benutzers, unter dem der Webserver läuft.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
mod_ssl ist ein weitverbreitetes Modul, um starke Verschlüsselung in den Webserver Apache einzubinden. Es benutzt eine Routine aus der OpenSSL-Bibliothek in einer Weise, die einen Pufferüberlauf erzeugen kann.

Bei der Zwischenspeicherung der Sitzungsdaten benutzt die dbm- und shared memory-Unterstützung die Routine i2d_SSL_SESSION() aus der OpenSSL-Bibliothek. Allerdings wird nicht berücksichtigt, daß keine obere Schranke für die Länge der von der Routine geschriebenen Daten existert. Der statische Puffer, welcher für diese Speicherung genutzt wird, kann folglich mit zuviel Daten gefüllt und somit andere Speicherbereiche überschrieben werden.

Es sind derzeit keine Angriffe, die diese Schwachstelle ausnutzen, bekannt. Auch die Notwendigkeit, ein spezielles, aber dennoch (im CA-technischen Sinne) vertrauenswürdiges Client-Zertifikat für den Angriff verwenden zu müssen, kann angesichts der häufig automatischen Generierung von Zertifikaten nicht als wirkliches Hindernis betrachtet werden. Die Erfahrung zeigt zudem, daß es gefährlich ist, schwierig bis unmöglich ausnutzbar scheinende Angriffsmöglichkeiten zu ignorieren.

Workaround

• Bis zum Einspielen des Patches sollte das modul mod_ssl nicht mehr verwendet werden. Dazu muss als root die Zeile LoadModule ssl_module /usr/lib/apache/1.3/mod_ssl.so in der Apache-Konfiguration (meist in der Datei httpd.conf) mit einem '#' auskommentiert werden:

     $ su
     Password:
     # vi httpd.conf
  

  Suchen sie folgende Zeile:

  LoadModule ssl_module /usr/lib/apache/1.3/mod_ssl.so
  

  Kommentieren sie durch Voranstellung eines Doppelkreuzes (#) aus:

  #LoadModule ssl_module /usr/lib/apache/1.3/mod_ssl.so
  

  Danach ist der http-Daemon neu zu starten. Dazu ist meist der Befehl apachectl vorhanden:

     # apachectl restart
  

  Loggen Sie sich wieder aus

     # exit
     $
  

Gegenmaßnahmen

• Installieren der neuen Version von mod_ssl (mindestens 2.8.7-1.3.23).

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/