Abo
  • Services:

Optionsbleed: Apache-Webserver blutet

Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.

Artikel von Hanno Böck veröffentlicht am
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server.
Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server. (Bild: Screenshot Hanno Böck)

Ein Fehler im Apache-Webserver bei der Verarbeitung der "OPTIONS"-Methode führt zu einer kritischen Sicherheitslücke. Der Optionsbleed-Bug sorgt dafür, dass Apache unter bestimmten Umständen im Antwortheader auf eine entsprechende Anfrage zufällige Speicherfragmente verschickt.

Inhalt:
  1. Optionsbleed: Apache-Webserver blutet
  2. Die Suche nach dem Bug gestaltet sich schwierig

Diese können Passwörter, Teile von Konfigurationsdateien, Codefragmente und vieles mehr enthalten. Die Lücke hat damit viel Ähnlichkeit mit anderen "Bleed"-Lücken wie Heartbleed oder Cloudbleed.

Das HTTP-Protokoll unterstützt verschiedene Methoden, um mit Webservern zu interagieren. Im normalen Weballtag werden meist nur zwei Methoden genutzt: GET und POST. Mit GET-Anfragen ruft man gewöhnliche Webseiten ab, mit POST-Anfragen kann man Daten an einen Webserver schicken, beispielsweise Formulareingaben. Doch HTTP unterstützt noch einige andere Methoden.

Options fragt nach unterstützten Methoden

Die OPTIONS-Methode macht etwas sehr Simples: Sie fragt beim Webserver nach, welche Methoden dieser unterstützt. Bei Webservern, die diese Methode unterstützen, wird als Antwort ein Header namens "Allow" geschickt, der eine Liste der unterstützten Methoden enthält.

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart
  2. OPITZ CONSULTING Deutschland GmbH, Bad Homburg vor der Höhe, München

Der Autor dieses Textes entdeckte vor einigen Wochen eine Reihe von Servern, die auf entsprechende OPTIONS-Anfragen mit offensichtlich defekten Allow-Headern antworteten. Teilweise wurden die Methoden mehrfach wiederholt, teilweise wurden Binärdaten mitgeschickt, teilweise waren Bruchstücke von HTML-Code oder aus Konfigurationsdateien zu sehen.

Doch woher diese seltsamen Header kamen, war zunächst unklar. Einige der Server schickten zwar einen "Server"-Header, der Auskunft über die verwendete Software gibt, aber solche Header können trügerisch sein: In vielen Setups dient eine Software als Proxy vor einem anderen Server.

Die Suche nach dem Bug gestaltet sich schwierig 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 482,99€ inkl. Versand (aktuell günstigste GTX 1080)
  2. 164,90€ + Versand
  3. auf ausgewählte Corsair-Netzteile

thomas.pi 20. Sep 2017

Man muss die htaccess ja auch nicht verbieten, sondern nur auf das nötigste begrenzen...

TheUnichi 19. Sep 2017

.htaccess, nach wie vor. Die Konfiguration lokal ablegen zu können, hat in vielen...

NaruHina 19. Sep 2017

Zurnot kann man das selber machen oder machen lassen, Freelancer kann man dafür auch...

Keridalspidialose 18. Sep 2017

-> https://www.fiverr.com Da klöppelt dir sicher jemand für Zwei-Fuffzich 'n Logo dafür.

hannob (golem.de) 18. Sep 2017

Test-Skript: https://github.com/hannob/optionsbleed Funktioniert allerdings nicht...


Folgen Sie uns
       


Pubg Global Invitational 2018 - Report von Golem.de

20 Teams, jeweils vier Spieler, fünf Tage und zwei Millionen US-Dollar Preisgeld: Das Pubg Global Invitational 2018 in Berlin hat E-Sport auf höchstem Niveau geboten. Golem.de hat mit dem Veranstalter und mit Zuschauern gesprochen.

Pubg Global Invitational 2018 - Report von Golem.de Video aufrufen
Disenchantment angeschaut: Fantasy-Kurzweil vom Simpsons-Schöpfer
Disenchantment angeschaut
Fantasy-Kurzweil vom Simpsons-Schöpfer

Mit den Simpsons ist er selbst Kult geworden, und Nachfolger Futurama hat nicht nur Sci-Fi-Nerds mit einem Auge für verschlüsselte Gags im Bildhintergrund begeistert. Bei Netflix folgt nun Matt Groenings Cartoonserie Disenchantment, die uns trotz liebenswerter Hauptfiguren in Märchenkulissen allerdings nicht ganz zu verzaubern weiß.
Eine Rezension von Daniel Pook

  1. Promotion Netflix testet Werbung zwischen Serienepisoden
  2. Streaming Wachstum beim Pay-TV dank Netflix und Amazon
  3. Videostreaming Netflix soll am Fernseher übersichtlicher werden

Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  2. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York
  3. TU Graz Der Roboter als E-Tankwart

HDR-Capture im Test: High-End-Streaming von der Couch aus
HDR-Capture im Test
High-End-Streaming von der Couch aus

Was bringen all die schönen neuen Farben auf dem 4K-HDR-TV, wenn man sie nicht speichern kann oder während des Livestreams nicht mehr selber sieht? Avermedia bietet mit den Capture-Karten Live Gamer 4K und Live Gamer Ultra erstmals bezahlbare Lösungen an. PC-Spieler sehen mit ihnen sogar bis zu 240 Bilder pro Sekunde.
Von Michael Wieczorek

  1. DisplayHDR Vesa veröffentlicht erstes Testwerkzeug für HDR-Standard
  2. HDMI 2.0 und Displayport HDR bleibt Handarbeit
  3. Intel Linux bekommt experimentelle HDR-Unterstützung

    •  /