Update für Apache-Webserver 2.2 schließt mehrere Sicherheitslücken
Version 2.2.15 korrigiert zahlreiche Fehler und schließt drei Sicherheitslücken. Eine der Lücke wird als kritisch eingestuft, jedoch betrifft dies nur die Windows-Version des Apache.
- Daniel Bachfeld
Version 2.2.15 des HTTP Server der Apache Software Foundation korrigiert zahlreiche Fehler und schließt drei Sicherheitslücken. Zudem bietet die neue Version die Möglichkeit, die unsichere Variante der TLS-Renegotiation für Clients wieder zu aktivieren, die die neue "Renegotiation Indication Extension" (RFC5746 ) noch nicht unterstützen.
Die IETF hatte das TLS-Protokoll (RFC 5246) um die TLS-Extension renegotiation_info ergänzt, die kryptografisch relevante Informationen einer Verbindung speichern soll, um eine eindeutig authentifizierte Zuordnung eines Client-Requests vor einer TLS-Renegotiation zu dem Request nach der Neuaushandlung zu ermöglichen. In der Ende Februar erschienenen OpenSSL-Version 0.9.8m wurde TLS Renegotiation Indication Extension bereits implementiert, sodass Angreifer keine eigene Pakete in gesicherte SSL-Verbindungen mehr einschleusen und so beispielsweise Webanwendungen manipulieren können. Bisherige Lösungen sahen vor, TLS-Renegotiation komplett zu unterbinden. Um die unsichere Renegotiation mittels der Option SSLInsecureRenegotiation aktivieren zu können, muss der Apache-Webserver jedoch gegen OpenSSL 0.9.8m kompiliert worden sein.
Bei den Sicherheitslücken handelt es sich um Probleme im Modul mod_proxy_ajp und dem Multi-Processing Module (MPM), wodurch präparierte Pakete den Server kurz aus dem Tritt bringen können oder Client-Requests vom falschen Thread verarbeitet werden.
Besonderes Augenmerk verdient eine als kritisch eingestufte Lücke im Modul mod_isapi für die Windows-Version des Apache. Die Internet Server API (ISAPI) ist eine Programmierschnittstelle von Microsoft; das Modul erlaubt dem Apache-Webserver Anwendungen zu laden, die beispielsweise für IIS geschrieben sind. Laut Fehlerbericht führen spezielle Request an den Server dazu, dass sich das Modul entlädt, bevor es einen Request vollständig beendet hat. Das kann zu verwaisten Zeigern im Speicher führen, was sich wiederum zum Starten eines zuvor eingeschleusten Programms mit Systemrechten aus der Ferne ausnutzen lässt.
Der Sicherheitsdienstleister Sense of Security hat einen Exploit veröffentlicht, der unter Windows die Datei sos.txt anlegt; ein Video (MP4) zeigt zudem, wie sich der Fehler zum Binden einer Shell an den TCP-Port 4444 ausnutzen lässt. Administratoren sollten die neue Apache-Version so bald wie möglich installieren.
Siehe dazu auch:
- Apache 2.2.14 mod_isapi Dangling Pointer, Bericht von Sense of Security
- Lösung für Schwachstelle im Design von SSL/TLS in Sicht
- OpenSSL fixt TLS-Schwachstelle
- Passwortklau durch Schwachstelle im SSL/TLS-Protokoll
- Schwachstelle im SSL/TLS-Protokoll
(dab)
