Lücke in SSL-VPNs

Ein Fehler im SSL-Modul mod_ssl kann dazu führen, dass unautorisierte Anwender Zugang zu geschützten Web-Seiten erlangen. Die Authentifizierung über Client-Zertifikate lässt sich umgehen, wenn diese nicht für den ganzen (virtuellen) Server sondern nur für Teilbereiche erforderlich ist.

Standardmäßig erfolgt bei verschlüsselten SSL-Verbindungen zu einem Web-Server (https) keine Client-Authentifizierung, lediglich der Server muss sich ausweisen. Zum Beispiel für die Zugangsbeschränkungen zu den immer beliebteren Virtual Private Networks auf SSL-Basis (SSL-VPN) aktiviert man jedoch dieses Feature im Web-Server. Der Anwender muss sich dann durch ein gültiges SSL-Zertikat beim Web-Server ausweisen, um Zugang zum Firmennetz zu erhalten.

Betroffen sind Apache-Server, die das SSL-Modul mod_ssl einsetzen, das bei den 1.3er-Versionen allerdings noch nicht zum Lieferumfang gehört. Dort kommt standardmäßig noch Apache-SSL zum Einsatz. Das mod_ssl-Team stellt für Administratoren, die Apache 1.3 mit mod_ssl nutzen, eine fehlerbereinigte Version 2.8.24 bereit. Bei Apache 2, der mod_ssl bereits standardmäßig enthält, haben die Entwickler einen Patch in die CVS-Version eingebaut, der allerdings noch nicht in die Release-Version zurückportiert wurde.

Siehe dazu auch: (ju)

• Security Advisory für Apache 1.3 mit mod_ssl
• Changelog für das Apache 2 CVS
• CVS-Patch in Apache 2.3.0