VulDB: Apache bis 2.2.3 für Windows mod_alias Direktiven fehlerhafte Zugriffsrechte
Allgemein
scipID: 2452
Betroffen: Apache bis 2.2.3 für Windows
Veröffentlicht: 11.08.2006 (Susam Pal, Infosys Technologies Ltd.)
Risiko: 
kritisch
Beschreibung
Apache ist ein populärer, freier open-source Webserver, der für viele verschiedene Plattformen erhältlich ist. Nun wurde ein Problem für die Windows-Version im Zusammenhang des Moduls mod_alias bekannt. Durch ein fehlerhafts Script-Alias könnte es gegeben sein, dass für ein Verzeichnis fehlerhafte Rechte zugesprochen werden. Ein Angreifer kann auf vermeintlich geschützte Ressourcen zugreifen, indem er sich einer Grossschreibung des Ressourcen-Namens (z.B. CGI-BIN) bedient. Als Workaround wird empfohlen, möglichst restriktive Konfigurations-Einstellungen vorzunehmen.
Diese Möglichkeiten werden mit grösster Wahrscheinlichkeit in zukünftige Webserver- und CGI-Scanning-Tools miteinfliessen. Die eine oder andere Wenapplikation könnte durch diesen Trick kompromittiert werden.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 22203 (Name: Apache on Windows mod_alias URL Validation Canonicalization CGI Source Disclosure, Risk: Medium)
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –
Massnahme: Die betroffene Funktion deaktivieren.
Link: http://httpd.apache.org/download.cgi
Snort: –
Pattern: –
Quellen
Advisory: –
CVE: CVE-2006-4110
OSVDB: 27913
Securityfocus: 19447
Secunia: 21490
X-Force: 28357
Securitytracker: –
VUPEN: ADV-2006-3265
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. August 2006
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
