• IT-Karriere:
  • Services:

Optionsbleed: Apache-Webserver blutet

Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.

Artikel von Hanno Böck veröffentlicht am
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server.
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server. (Bild: Screenshot Hanno Böck)

Ein Fehler im Apache-Webserver bei der Verarbeitung der "OPTIONS"-Methode führt zu einer kritischen Sicherheitslücke. Der Optionsbleed-Bug sorgt dafür, dass Apache unter bestimmten Umständen im Antwortheader auf eine entsprechende Anfrage zufällige Speicherfragmente verschickt.

Inhalt:
  1. Optionsbleed: Apache-Webserver blutet
  2. Die Suche nach dem Bug gestaltet sich schwierig

Diese können Passwörter, Teile von Konfigurationsdateien, Codefragmente und vieles mehr enthalten. Die Lücke hat damit viel Ähnlichkeit mit anderen "Bleed"-Lücken wie Heartbleed oder Cloudbleed.

Das HTTP-Protokoll unterstützt verschiedene Methoden, um mit Webservern zu interagieren. Im normalen Weballtag werden meist nur zwei Methoden genutzt: GET und POST. Mit GET-Anfragen ruft man gewöhnliche Webseiten ab, mit POST-Anfragen kann man Daten an einen Webserver schicken, beispielsweise Formulareingaben. Doch HTTP unterstützt noch einige andere Methoden.

Options fragt nach unterstützten Methoden

Die OPTIONS-Methode macht etwas sehr Simples: Sie fragt beim Webserver nach, welche Methoden dieser unterstützt. Bei Webservern, die diese Methode unterstützen, wird als Antwort ein Header namens "Allow" geschickt, der eine Liste der unterstützten Methoden enthält.

Stellenmarkt
  1. DR. JOHANNES HEIDENHAIN GmbH, Traunreut (Raum Rosenheim)
  2. Deutsche Rentenversicherung Bund, Berlin

Der Autor dieses Textes entdeckte vor einigen Wochen eine Reihe von Servern, die auf entsprechende OPTIONS-Anfragen mit offensichtlich defekten Allow-Headern antworteten. Teilweise wurden die Methoden mehrfach wiederholt, teilweise wurden Binärdaten mitgeschickt, teilweise waren Bruchstücke von HTML-Code oder aus Konfigurationsdateien zu sehen.

Doch woher diese seltsamen Header kamen, war zunächst unklar. Einige der Server schickten zwar einen "Server"-Header, der Auskunft über die verwendete Software gibt, aber solche Header können trügerisch sein: In vielen Setups dient eine Software als Proxy vor einem anderen Server.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Suche nach dem Bug gestaltet sich schwierig 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 477€ (Vergleichspreis ca. 525€)
  2. 589€ (Bestpreis!)
  3. (u. a. Amazon-Geräte im Angebot, Thrustmaster T300 RS GT Edition für 259€, T300 RS GT Edition...
  4. 79€ (Bestpreis mit Saturn. Vergleichspreis über 100€)

thomas.pi 20. Sep 2017

Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen...

TheUnichi 19. Sep 2017

.htaccess, nach wie vor. Die Konfiguration lokal ablegen zu können, hat in vielen...

NaruHina 19. Sep 2017

Zurnot kann man das selber machen oder machen lassen, Freelancer kann man dafür auch...

Keridalspidialose 18. Sep 2017

-> https://www.fiverr.com Da klöppelt dir sicher jemand für Zwei-Fuffzich 'n Logo dafür.

hannob (golem.de) 18. Sep 2017

Test-Skript: https://github.com/hannob/optionsbleed Funktioniert allerdings nicht...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Schenker Via 14 im Test: Leipziger Langläufer-Laptop
Schenker Via 14 im Test
Leipziger Langläufer-Laptop

Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
Ein Test von Marc Sauter

  1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
  2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
  3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

Asus Zephyrus G14 im Test: Ryzen-Renoir-Revolution!
Asus Zephyrus G14 im Test
Ryzen-Renoir-Revolution!

Dank acht CPU-Kernen bei nur 35 Watt schlägt Asus' Ryzen-basiertes 14-Zoll-Spiele-Notebook jegliche Konkurrenz.
Ein Test von Marc Sauter

  1. Intel MKL Matlab R2020a läuft auf Ryzen drastisch schneller
  2. DFI GHF51 Ryzen-Platine ist so klein wie Raspberry Pi
  3. Ryzen Mobile 4000 Das kann AMDs Renoir

Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner

    •  /