Fehler in Perl-Modul unter Apache soll Zugriff mit Webserver-Rechten erlauben [2. Update]

Der Sicherheitsexperte Steve Grubb hat auf Bugtraq ein Posting veröffentlicht, in dem er die Möglichkeit beschreibt, mit dem Modul mod_perl unter Apache 2.0.47 Webserver-Rechte erlangen zu können. Durch einen Fehler bei der Behandlung von File-Descriptoren erhalte ein Angreifer mit speziellen CGI-Skripten Kontrolle über den Apache. Demnach würde es für einen Angreifer ausreichen, ein Skript in das CGI-BIN-Verzeichnis zu laden und zu starten -- Zugriff auf mod_perl vorausgesetzt. Viele Webspace-Provider bieten ihren Kunden diese Möglichkeit an. Ein Proof-of-Concept-Exploit in Perl ist dem Posting beigefügt.

Grubb weist darauf hin, dass nicht eindeutig sei, ob der Fehler nun Apache selbst oder mod_perl zuzuordnen sei. Getestet habe er die Schwachstelle auf einer Mandrake-9.2-Installation. Das Problem sei nach seiner Beschreibung schon seit August 2002 bekannt, aber erst teilweise in Apache 2.0.45 behoben worden, bei Mandrake offenbar nicht. Der Distributor ist informiert, ein Patch oder Workaround gibt es nicht. Laut Grubb helfe auch kein Sandboxing oder Jailing, da die dies mit mod_perl nicht zufriedenstellend funktionieren würde.

Mit dem Tool env_audit kann man laut Posting testen, ob der eigene Server verwundbar ist und File-Descriptoren bei Einsatz von mod_perl verlieren würde.

[Update] Der Fehler ermöglicht keinen Zugriff mit Root-Rechten, sondern nur mit den Rechten des Webservers.

[2.Update] Über den von Steve Grubb veröffentlichten Exploit gibt es auf diversen Mailing-Listen eine angeregte Diskussion. Allerdings teilen dort die wenigsten die Auffassung, dass geschilderte Problem sei eine Sicherheitslücke. Vielmehr sei die von ihm verwendete Konfiguration fehlerhaft. Um den im Beispiel aufgeführten Apache zu stoppen, benötige man Root-Rechte - dann aber mache der Exploit keinen Sinn.

Siehe dazu auch: (dab)

• Posting auf Bugtraq