Die Suche nach dem Bug gestaltet sich schwierig

Versuche, die Betreiber der entsprechenden Server zu erreichen, führten nicht weiter. Die meisten Serverbetreiber antworteten nicht oder waren nicht bereit, Details über ihr Setup mitzuteilen. Doch ein genauerer Blick auf die defekten Header gab einen Hinweis: Teilweise enthielten sie Bruchstücke von Konfigurationsoptionen, die nur in Apache genutzt werden. Es schien daher zumindest sehr plausibel, dass es sich um einen Bug in Apaches Webserver handelt.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    EKF-Diagnostic GmbH, Barleben
  2. Manager / Teamleiter (m/w/d) SAP Finanzen und Controlling (FI, CO) mit Schwerpunkt SAP ECC
    Getinge Holding B.V. & Co. KG, Rastatt bei Karlsruhe
Detailsuche

Nach einigen Mails an das Apache-Security-Team konnte das Rätsel gelöst werden: Es handelte sich um einen Use-After-Free-Bug beim Zusammenstellen der Liste von unterstützten Methoden. Der Fehler tritt allerdings nur in einer eher ungewöhnlichen Konstellation auf.

Unbekannte Methoden verursachen Fehler

Mittels der Limit-Direktive kann in htaccess-Dateien der Zugriff auf bestimmte HTTP-Methoden beschränkt werden. Hier kam es zu dem Fehler: Versucht man, mittels htaccess den Zugriff auf eine Methode zu beschränken, die der Server noch nicht kennt, wird der entsprechende String für den Allow-Header neu zusammengesetzt. Dabei werden jedoch Strings verwendet, die bereits freigegeben wurden. Daher kommt es zu einer Memory Corruption - und der String kann alles Mögliche enthalten. Eine htaccess-Datei, die den Fehler auslöst, könnte also so aussehen:

<Limit FOOBAR>
</Limit>

Trotz dieser eher ungewöhnlichen Konstellation sind zahlreiche Server zu finden, die von dieser Lücke betroffen sind. Etwa 500 Server aus der Alexa-Top-1-Million-Liste schicken entsprechende korrupte Header. Ein Grund dafür dürfte sein, dass der Bug über Nutzergrenzen hinweg auftreten kann. Wenn auf einem Server mit mehreren Nutzern und Hosts in einem virtuellen Host die entsprechende htaccess-Option gesetzt ist, führt das auch dazu, dass andere Hosts entsprechend korrupte Header verschicken.

Gefahr für Webhoster

Golem Akademie
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
  2. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
Weitere IT-Trainings

In Shared-Hosting-Umgebungen ist es üblich, dass sich Dutzende oder Hunderte von Webseiten einen Apache-Server teilen. Ein einziger Kunde, der eine entsprechende htaccess-Option gesetzt hat, reicht aus, um alle Webseiten auf demselben Server zu gefährden.

Ein besonderes Risiko: Ein Angreifer, der über diese Lücke Bescheid weiß, kann selbst bei einem Hostingprovider eine entsprechende htaccess-Datei hochladen und somit den Fehler auslösen. Durch entsprechende OPTIONS-Anfragen kann er anschließend Speicherfragmente von anderen Hosts, die ihm nicht gehören, auslesen.

Ein Patch für die Lücke ist bereits im Subversion-Repository von Apache vorhanden. Künftig werden in der htaccess definierte Methoden nicht mehr in den Allow-String aufgenommen. Über die distros-Mailingliste wurden die Sicherheitsteams von Linux- und BSD-Distributionen über die entsprechende Lücke vorab informiert. Aktualisierte Pakete für alle gängigen Distributionen sollten im Lauf des Tages bereitstehen. Von Apache selbst gibt es bislang noch kein Update.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Optionsbleed: Apache-Webserver blutet
  1.  
  2. 1
  3. 2


thomas.pi 20. Sep 2017

Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen...

TheUnichi 19. Sep 2017

.htaccess, nach wie vor. Die Konfiguration lokal ablegen zu können, hat in vielen...

NaruHina 19. Sep 2017

Zurnot kann man das selber machen oder machen lassen, Freelancer kann man dafür auch...

Keridalspidialose 18. Sep 2017

-> https://www.fiverr.com Da klöppelt dir sicher jemand für Zwei-Fuffzich 'n Logo dafür.

hab (Golem.de) 18. Sep 2017

Test-Skript: https://github.com/hannob/optionsbleed Funktioniert allerdings nicht...



Aktuell auf der Startseite von Golem.de
Pornhub, Youporn, Mydirtyhobby
Gericht bestätigt Zugangsverbot für Pornoportale

Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
Artikel
  1. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  2. Kompakter Einstieg in die Netzwerktechnik
     
    Kompakter Einstieg in die Netzwerktechnik

    Die Golem Akademie bietet Admins und IT-Sicherheitsbeauftragten in einem Fünf-Tage-Workshop einen umfassenden Überblick über Netzwerktechnologien und -konzepte.
    Sponsored Post von Golem Akademie

  3. Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
    Razer Zephyr im Test
    Gesichtsmaske mit Stil bringt nicht viel

    Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /