Abo
  • Services:
Anzeige
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server.
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server. (Bild: Screenshot Hanno Böck)

Optionsbleed: Apache-Webserver blutet

Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server.
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server. (Bild: Screenshot Hanno Böck)

Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.
Von Hanno Böck

Ein Fehler im Apache-Webserver bei der Verarbeitung der "OPTIONS"-Methode führt zu einer kritischen Sicherheitslücke. Der Optionsbleed-Bug sorgt dafür, dass Apache unter bestimmten Umständen im Antwortheader auf eine entsprechende Anfrage zufällige Speicherfragmente verschickt.

Anzeige

Diese können Passwörter, Teile von Konfigurationsdateien, Codefragmente und vieles mehr enthalten. Die Lücke hat damit viel Ähnlichkeit mit anderen "Bleed"-Lücken wie Heartbleed oder Cloudbleed.

Das HTTP-Protokoll unterstützt verschiedene Methoden, um mit Webservern zu interagieren. Im normalen Weballtag werden meist nur zwei Methoden genutzt: GET und POST. Mit GET-Anfragen ruft man gewöhnliche Webseiten ab, mit POST-Anfragen kann man Daten an einen Webserver schicken, beispielsweise Formulareingaben. Doch HTTP unterstützt noch einige andere Methoden.

Options fragt nach unterstützten Methoden

Die OPTIONS-Methode macht etwas sehr Simples: Sie fragt beim Webserver nach, welche Methoden dieser unterstützt. Bei Webservern, die diese Methode unterstützen, wird als Antwort ein Header namens "Allow" geschickt, der eine Liste der unterstützten Methoden enthält.

Der Autor dieses Textes entdeckte vor einigen Wochen eine Reihe von Servern, die auf entsprechende OPTIONS-Anfragen mit offensichtlich defekten Allow-Headern antworteten. Teilweise wurden die Methoden mehrfach wiederholt, teilweise wurden Binärdaten mitgeschickt, teilweise waren Bruchstücke von HTML-Code oder aus Konfigurationsdateien zu sehen.

Doch woher diese seltsamen Header kamen, war zunächst unklar. Einige der Server schickten zwar einen "Server"-Header, der Auskunft über die verwendete Software gibt, aber solche Header können trügerisch sein: In vielen Setups dient eine Software als Proxy vor einem anderen Server.

Die Suche nach dem Bug gestaltet sich schwierig 

eye home zur Startseite
thomas.pi 20. Sep 2017

Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen...

Themenstart

TheUnichi 19. Sep 2017

.htaccess, nach wie vor. Die Konfiguration lokal ablegen zu können, hat in vielen...

Themenstart

NaruHina 19. Sep 2017

Zurnot kann man das selber machen oder machen lassen, Freelancer kann man dafür auch...

Themenstart

Keridalspidialose 18. Sep 2017

-> https://www.fiverr.com Da klöppelt dir sicher jemand für Zwei-Fuffzich 'n Logo dafür.

Themenstart

hannob (golem.de) 18. Sep 2017

Test-Skript: https://github.com/hannob/optionsbleed Funktioniert allerdings nicht...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Knauf Information Services GmbH, Iphofen bei Würzburg
  2. Robert Bosch GmbH, Reutlingen
  3. Town & Country Haus, Behringen
  4. ANSYS Germany GmbH, Otterfing (bei München)


Anzeige
Top-Angebote
  1. (u. a. Game of Thrones, Supernatural, The Big Bang Theory)
  2. (u. a. Blade Runner, Inception, Erlösung, Mad Max Fury Road, Creed, Legend of Zarzan)
  3. (u. a. Arrow, Pretty Little Liars, The Big Bang Theory, The 100)

Folgen Sie uns
       


  1. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  2. iOS 11+1+2=23

    Neuer Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  3. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  4. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone

  5. Sexismus

    US-Spielforum Neogaf offenbar abgeschaltet

  6. Kiyo und Seiren X

    Razer bringt Ringlicht-Webcam für Streamer

  7. Pixel 2 XL

    Google untersucht Einbrennen des Displays

  8. Max-Planck-Gesellschaft

    Amazon eröffnet AI-Center mit 100 Jobs in Deutschland

  9. Windows 10

    Trueplay soll Cheating beim Spielen verhindern

  10. Foto-App

    Weboberfläche von Google Fotos hat Bilderlücken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Gran Turismo Sport im Test: Puristischer Fahrspaß - fast nur für Onlineraser
Gran Turismo Sport im Test
Puristischer Fahrspaß - fast nur für Onlineraser

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. Europol EU will "Entschlüsselungsplattform" ausbauen
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Darum wird sich Linux nie so richtig durchsetzen

    RechtsVerdreher | 15:30

  2. Re: Das Ende :-) (SPOILER)

    Its_Me | 15:29

  3. Re: ENDLICH!

    Kein Kostverächter | 15:29

  4. Re: Das wird den privaten Medienkonzeren aber stinken

    daarkside | 15:28

  5. Re: Lustige Szenarien. Lenkradsperre bei 250 KM/H

    cyblord | 15:28


  1. 15:38

  2. 15:23

  3. 12:02

  4. 11:47

  5. 11:40

  6. 11:29

  7. 10:50

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel