RUS-CERT-850 – Archivierte Meldung

Meldung Nr: RUS-CERT-850

[Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update
(2002-06-17 19:28:12.490002+00)

Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/06/msg00189.html

Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.

Betroffene Systeme

Apache 1.x incl. Version 1.3.24 (auf allen Plattformen)
Apache 2.0 incl. Version 2.0.36 und 2.0.36-dev (auf allen Plattformen)

Einfallstor
HTTP-Anfrage

Auswirkung

Apache 1.x, insbesondere Apache 1.3.x unter Microsoft Windows: Ausführung beliebigen Programmcodes mit den Privilegien des Apache-Prozesses (remote code execution)
Apache 2.0: Denial of Service (DoS)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential

hoch bis sehr hoch für den Apache 1.x (in Abhängigkeit der Privilegien des Apache-Prozesses)
mittel für die DoS-Schwachstelle in Apache 2.x

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch einen Rechenfehler wird die Länge des für chunk encoding benötigten Puffers falsch berechnet. In der Folge weist der Apache Webserver eine Pufferüberlaufschwachstelle auf, durch die Angreifer möglicherweise beliebigen Programmcode über eine Netzwerkverbindung ausführen können. Der Programmcode wird mit den Privilegien des Apache-Prozesses ausgeführt. Bei der Apache 2.x Version scheint durch diese Schwachstelle keine Ausführung von Programmcode möglich zu sein, jedoch kann diese Schwachstelle zu einem Denial of Service (DoS) ausgenutzt werden.

Für die Windows-Version von Apache 1.3.24 liegen glaubwürdige Berichte vor, daß Exploits entwickelt wurden, die das Ausführen beliebigen Codes erlauben. Auf 64-Bit-Plattformen ist eine Ausnutzung der Schwachstelle höchstwahrscheinlich ebenfalls möglich. Für OpenBSD, FreeBSD und NetBSD auf x86 kursiert bereits Exploit-Code. Es kann deswegen gegenwärtig nicht ausgeschlossen werden, daß dieses Problem auch für weitere 32-Bit-Plattformen äußerst gefährlich ist.

Gegenmaßnahmen

Mittlerweile sind gepachte Apache-Versionen (1.3.26 bzw. 2.0.39) verfügbar. Auch mod_ssl wurde aktualisiert.
Weiterhin kann ein Patch aus dem Apache-CVS eingespielt werden, der nach Kenntnis des RUS-CERT das Problem behebt. Debian-Pakete mit diesem Patch sind verfügbar.
Hersteller-Updates sind ebenfalls verfügbar:

ACHTUNG: Vergessen Sie nach dem Einspielen dieser Updates nicht, den Apache-Prozeß neu zu starten! Kommandos wie "apachectl restart" oder "/etc/init.d/httpd restart" sorgen dabei lediglich dafür, daß die Konfigurationsdatei neu geladen wird; die ungepatchte Webserver läuft danach immer noch. Besser ist es, den Web-Server komplett zu stoppen und wieder zu starten:

# apachectl stop
/usr/sbin/apachectl stop: httpd stopped
# apachectl start
/usr/sbin/apachectl start: httpd started
#

Falls Sie einen HTTPS-Server betreiben, müssen Sie eventuell als zweiten Befehl "apachectl startssl" eingeben, um die SSL-Unterstützung zu aktivieren.

Vulnerability ID

CAN-2002-0392

Weitere Information zu diesem Thema

Remote Compromise Vulnerability in Apache HTTP Server (ISS X-Force)
Vorläufige Mitteilung der Apache Foundation: Apache httpd: vulnerability with chunked encoding (VULNWATCH)
Entgegnung von ISS X-Force zu dieser Mitteilung (BUGTRAQ)
CERT/CC Advisory CA-2002-17

Revisionen

V.1.0 (2002-06-17)
V.2.0 (2002-06-19) gepachte Apache-Version 1.3.26 bzw. 2.0.39 verfügbar
V.3.0 (2002-06-20) Einschätzung der Möglichkeit erfolgreicher Angriffe aktualisiert

(tf)

Weitere Artikel zu diesem Thema:

[Generic/Apache] Schwachstellen in Apache-Version 2.0.x (2003-05-28)
Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf.
[Generic/Apache] Apache 2.0.43 Webserver weist mehrere Schwachstellen auf (2003-01-23)
Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben.
[Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten (2002-10-07)
Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.
[Generic/Apache 2] Schwachstelle in URL-Verarbeitung (2002-08-11)
Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=850