Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.

Betroffene Systeme

• Systeme, die Apache 2.0.42 verwenden.

Einfallstor
HTTP-Requests

Auswirkung
Der Quelltext von CGI-Skripten kann ausgelesen werden.

Typ der Verwundbarkeit
source code disclosure

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Falls in einem Webserver-Verzeichnis sowohl die Ausführung von CGI-Programmen, als auch WebDAV-Unterstützung aktiviert ist, kann über einen POST-Request das CGI-Programm (also dessen Quelltext, falls es sich um ein Skript handelt) ausgelesen werden.

Gegenmaßnahmen

• Upgrade auf Apache 2.0.43.
• Kritische Daten wie Paßwörter sollten nie im Quellcode von CGI-Skripten abgelegt werden, da Fehler wie der hier beschriebene hin und wieder vorkommen (insbesondere durch Fehlkonfiguration der Server-Software).

Vulnerability ID

• CAM-2002-1156

Weitere Information zu diesem Thema

• Security issues force release of 1.3.27, 2.0.43 (ApacheWeek)
• Apache Bug 13025

Weitere Artikel zu diesem Thema:

• [Warnung/Angriff] Wettbewerb zum Website-Defacement angekündigt (2003-07-04)
  Am kommenden Sonntag (2003-07-06) soll ein großer Website-Defacement-Wettbewerb stattfinden. Es ist daher mit vermehrten Angriffen auf Rechnersysteme zu rechnen, die einen Webserver betreiben. Webserveradministratoren sind angehalten, ihre Server umfassend auf Schwachstellen zu untersuchen und diese zu beheben.
• [Generic/Apache] Schwachstellen in Apache-Version 2.0.x (2003-05-28)
  Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf.
• [Generic/Apache] Apache 2.0.43 Webserver weist mehrere Schwachstellen auf (2003-01-23)
  Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben.
• [Generic/Apache] Cross-Site-Scripting über die Fehlerseite (2002-10-07)
  Eine Schwachstelle in Apache ermöglicht Cross-Site-Scripting über die Fehlerseite (404 document).
• [Generic/Apache 2] Schwachstelle in URL-Verarbeitung (2002-08-11)
  Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.
• [Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update (2002-06-17)
  Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/