OptionsBleed – Der Apache HTTP Server gibt Daten preis

Originalbeitrag von Pavan Thorat, Vulnerability Research


Kürzlich wurde eine neue Schwachstelle (CVE-2017-9798) im Apache HTTP-Server gefunden, die durch die Art entsteht, wie Apache bestimmte Settings in seinen Konfigurationsdateien .htacces handhabt, und die zu Memory-Leaks führt. Die Lücke wurde OptionsBleed genannt, weil sie Ähnlichkeit mit der Heartbleed-Sicherheitslücke aufweist. Patches für den Apache sind jetzt verfügbar.

Aufgrund des im Apache HTTP Server vorhandenen Use-After-Free-Fehlers kann ein Angreifer einen nicht authentifizierten HTTP Request mit der OPTIONS-Methode an einen angreifbaren Apache Server senden, und dieser gibt dann geheime Daten aus dem Hauptspeicher als Antwort preis.

Der Screenshot zeigt eine typische Antwort eines angreifbaren Apache HTTP Servers auf einen OPTIONS Request. Der markierte Teil zeigt die geleakte Information aus der Memory:

Bild 1. Memory Leak als Folge eines OPTIONS Requests

Laut Hanno Böck (der Forscher, der die Sicherheitslücke entdeckt hat) und dem Apache-Entwickler Jacob Champion unterstützt Apache eine Konfigurationsdirektive Limit, die den Zugriff auf bestimmte HTTP-Methoden auf spezifische Nutzer einschränkt. Stellt jedoch jemand diese Direktive in eine .htaccess-Datei für eine HTTP-Methode, die nicht global bei dem Server registriert ist, so kommt es zu besagtem Fehler. Die Forscher stellten auch fest, dass es der OPTIONS-Methode gar nicht bedarf, um die Lücke auszunutzen. Jeder HTTP Request kann dazu missbraucht werden. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Wie kritisch ist der Fehler?

Im Allgemeinen lassen sich über .htaccess-Dateien Konfigurationsänderungen für einzelne Verzeichnisse vornehmen, anstatt dafür die Hauptdatei für Serverkonfiguration zu verwenden (Der Apache-Guide rät allerdings aus Performance-Gründen davon ab). Daher scheint OptionsBleed kein kritischer Fehler zu sein.

Doch wenn ein Nutzer keinen Zugriff auf die Hauptdatei für Serverkonfiguration hat, kann er auf .htaccess zurückgreifen, um bestimmte Konfigurationen auf seiner Website vorzunehmen, typischerweise in geteilten Webhosting-Umgebungen, wo ISPs keinen Root-Zugriff auf das Serversystem und die Konfigurationsdatei haben. Für Angreifer sind diese Umgebungen interessant, denn ein Memory Leak könnte sensible Daten von anderen Co-gehosteten Websites enthalten.

Betroffen sind sowohl die Versionen 2.2.x (bis 2.2.34) als auch 2.4.x (bis 2.4.27).Es gibt bereits Patches für viele Linux-Distributionen, und es empfiehlt sich, sie schnell aufzuspielen.

Fazit

Deep Security“-Kunden können die folgende DPI Rule anwenden, um in ihrer Umgebung erlaubte HTTP-Methoden zu konfigurieren und die Möglichkeit einzuschränken, Daten über Requests abzuziehen:

  • 1002593 – Allow HTTP (Including WebDAV) Methods

Systemadministratoren sollten ihre Versionen des Apache HTTP Servers upgraden und die Nutzung von .htaccess-Dateien falls möglich deaktivieren. Site-Besitzer ohne direkten Zugriff darauf sollten ihre ISPs ebenfalls drängen upzugraden.

TippingPoint hat eine Customer Shield Writer (CSW)-Datei für diese Sicherheitslücke veröffentlicht, die Kunden von TMC herunterladen können. Folgende Regel ist anzuwenden:

  • C1000002: HTTP: Apache Server Options Information Disclosure Vulnerability

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*