Weiterer Fehler in Apaches SSL-Modul

Das Modul mod_ssl des freien Web-Server Apache 2.0 für verschlüsselte Verbindungen enthält einen Fehler, mit der Angreifer den Server zum Absturz bringen können.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Das Modul mod_ssl des freien Web-Servers Apache 2.0 für verschlüsselte Verbindungen enthält einen Fehler, mit der Angreifer den Server zum Absturz bringen können. Wird das Modul für Reverse-Proxy-SSL-Verbindungen benutzt -- der Server arbeitet dann als Relay zwischen dem eigentlichen Webserver und dem Client --, so kann der Ziel-Webserver einen Buffer Overflow erzeugen. Schuld ist ein Fehler im Modul ssl_engine_io in der Funktion char_buffer_read(). Allerdings tritt der Fehler nur bei Verwendung so genannter RewriteRules auf. Zudem muss ein Angreifer den Ziel-Webserver manipulieren.

Aufgefallen war der Fehler bereits Ende August in Tests, bei denen Microsofts Internet Information Server (IIS) als Ziel-Server fungierte -- eine Anleitung zum Nachvollziehen des Fehlers ist im Original-Advisory aufgeführt. Betroffen ist die aktuelle Apache-Version 2.0.50. Ein Fix ist im Apache-CVS bereits eingepflegt. Schon Anfang dieses Monats gab es einen Bericht über einen Fehler im gleichen Apache-Modul, bei dem Clients einen Denial-of-Service provozieren konnten.

Siehe dazu auch: (dab)