Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.

Betroffene Systeme

• Apache 2 vor Version 2.0.40 auf Windows, OS/2 und Netware
• Weitere Plattformen, die Apache 2 vor Version 2.0.40 verwenden und "\" (Backslash) als Pfadtrenner akzeptieren.

Einfallstor
HTTP-Requests über HTTP (TCP-Port 80) oder HTTPS (TCP-Port 443). Die Requests enthalten die Zeichen "\.." (eventuell in kodierter Form).

Auswirkung
Vermutlich lassen sich Daten vom Webserver herunterladen, die gegen Zugriff geschützt sein sollten. Möglicherweise ist auch das Ausführen von beliebigen Programmen möglich.

Typ der Verwundbarkeit
vermutlich directory traversal

Gefahrenpotential
vermutlich hoch bis sehr hoch (letzteres insbesondere dann, wenn sich beliebige Programme ausführen lassen und der Server mit systemweiten Rechten läuft)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Um Zugriffe auf übergeordnete Verzeichnisse zu verhindern, entfernt der Apache-Webserver aus eingelieferten URLs Zeichenketten der Form "/..". Zumindest teilweise wurde es unterlassen, auf Plattformen, die auch den Backslash als Pfadtrenner interpretieren, die Zeichenkette "\.." in gleicher Weise zu behandeln. Dadurch ist es offenbar möglich, sonst geschützte Dateien auszulesen. (Details zur Schwachstelle sind im Moment noch nicht öffentlich verfügbar, wodurch die Angriffsvoraussetzung, die Auswirkungen und das Gefahrenpotential nicht genau bestimmt werden können.)

Auch wenn Details über mögliche Angriffe derzeit nicht bekannt sind, beheben die Änderungen in Version 2.0.40 auf jeden Fall eine möglicherweise gravierende Schwachstelle. Das Update ist auf den genanten Plattformen (Windows, OS/2, Netware) auf jeden Fall zu empfehlen.

Workaround

• Einfügen der Direktive (Achtung: drei "\"-Zeichen am Anfang der zu blockierenden Zeichenkette)

  RedirectMatch 400 "\\\.\."
  

  vor der ersten Redirect- oder Alias-Direktive (und zwar außerhalb der Definition eines virtuellen Hosts). Dadurch werden die kritischen Anfragen abgewiesen.

Gegenmaßnahmen

• Aktualisierung auf Apache 2.0.40. Dieses Update behebt auch kleinere Defekte, die als nicht gravierend angesehen werden.

Vulnerability ID

• CAN-2002-0661

Weitere Artikel zu diesem Thema:

• [Warnung/Angriff] Wettbewerb zum Website-Defacement angekündigt (2003-07-04)
  Am kommenden Sonntag (2003-07-06) soll ein großer Website-Defacement-Wettbewerb stattfinden. Es ist daher mit vermehrten Angriffen auf Rechnersysteme zu rechnen, die einen Webserver betreiben. Webserveradministratoren sind angehalten, ihre Server umfassend auf Schwachstellen zu untersuchen und diese zu beheben.
• [Generic/Apache] Schwachstellen in Apache-Version 2.0.x (2003-05-28)
  Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf.
• [Generic/Apache] Apache 2.0.43 Webserver weist mehrere Schwachstellen auf (2003-01-23)
  Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben.
• [Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten (2002-10-07)
  Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.
• [Generic/Apache] Cross-Site-Scripting über die Fehlerseite (2002-10-07)
  Eine Schwachstelle in Apache ermöglicht Cross-Site-Scripting über die Fehlerseite (404 document).
• [Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update (2002-06-17)
  Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/