Apache: Kille, kille, du gehörst mir
Das Modul mod_tcl für für den Open-Source-Webserver Apache enthält eine Lücke, über die sich Code einschleusen lässt.
Häufig begegnet man der Skript-Sprache Tool command language, kurz Tcl (ausgesprochen wie "tickle", engl. kitzeln) nicht mehr, meist nur noch in Kombination mit dem Toolkit Tk bei der grafischen Konfiguration des Linux-Kernels. Für den Open-Source-Webserver Apache gibt es immerhin noch ein Modul mod_tcl, in dem nun eine Lücke entdeckt wurde. So findet sich nach Angaben des Sicherheitsdienstleisters iDefense im Modul für Apache 2.x eine Format-String-Schwachstelle, mit der ein Angreifer seinen bösartigen Code in den Server schleusen und mit dessen Rechten starten kann.
Für einen erfolgreichen Angriff muss aber ein Skript auf dem Server vorliegen, welches Benutzerparameter mit der verwundbaren Funktion set_var() verarbeitet. Einzelheiten dazu sind dem Fehlerbericht von iDefense zu entnehmen. Betroffen ist die Version mod_tcl 1.0. Die Entwickler haben die Lücke in der Version 1.0.1 beseitigt – zwei Monate nachdem sie von iDefense darüber informiert wurden.
Siehe dazu auch: (dab)
- Apache HTTP Server mod_tcl set_var Format String Vulnerability, Fehlerbericht von iDefense
