Thema: Apache ...

[SiLæncer]

Die neueste Version für die 2er-Serie des weit verbreiteten Webservers Apache schließt zahlreiche in der Vergangenheit bekannt gewordenen Sicherheitslücken. Behoben wurde unter anderem ein Fehler im SSL-Modul mod_ssl zur sicheren Verbindung via Secure Sockets Layer (SSL) oder Transport Layer Security (TLS), der möglicherweise zu einem aus dem Netz ausnutzbaren Off-by-One-Pufferüberlauf führen konnte. Ebenso wurde eine Lücke in SSL-VPNs geschlossen.

Diese Sicherheitsprobleme wurden ebenso wie ein Fehler bei Byterange-Anfragen, die den gesamten Systemspeicher verbrauchen und den Server damit zum Stillstand bringen konnten, in der Vergangenheit durch Patches behoben. Mit Apache 2.0.55 ist aber nun vorerst wieder ein offizielles, sicheres Paket verfügbar, das zunächst das Einpflegen von Patches erspart.

Siehe dazu auch:

    * Changelog von Apache 2.0.55


Quelle und Links : http://www.heise.de/security/news/meldung/64953

[SiLæncer]

Nachdem die Apache-Entwicklern am Wochenende im 2er-Zweig des Webservers diverse Sicherheitslücken geschlossen haben, ist nun auch ein Update für die Version 1.3 erschienen. Apache 1.3.34 behebt dabei zwei Sicherheitsfehler und bringt kleinere Bugfixes mit.

Eine der geschlossenen Lücken ermöglichte die Umgehung von Web-Anwendungs-Firewalls oder Cross-Site-Scripting-Angriffe durch gleichzeitiges Senden von Transfer-Encoding: chunked- und Content-Length-Headern. Die Option TraceEnable arbeitete im Proxy-Server nicht RFC-konform, diesen Fehler beheben die Entwickler ebenfalls.

Eine zugehörige mod_ssl-Version steht auch schon zum Download zur Verfügung. Bisher stellt jedoch noch kein Linux-Distributor aktualisierte Pakete bereit; dies sollte sich allerdings in Kürze ändern.

Siehe dazu auch:

    * Changelog der Apache-Version 1.3.34
    * Download der aktualisierten Apache-Quellen

Quelle und Links : http://www.heise.de/newsticker/meldung/65077

[SiLæncer]

Mehrere Lücken im Authentifizierungsmodul mod_auth_pgsql für Apache2 gefährden unter Umständen die Sicherheit von Webservern. So lässt sich über mehrere Format-String-Schwachstellen beliebiger Code in ein System schleusen und ausführen. Ursache des Problems ist die fehlende Filterung von Zeichenketten, bevor sie in den Syslog geschrieben werden. Zwar funktioniert der Angriff ohne vorherige Anmeldung, der Webserver muss aber zum Zugriff auf geschützte Seiten die Authentifizierung per PostgreSQL-Datenbank verwenden. Betroffen sind mod_auth_pgsql 2.0.1 und vorhergehende Versionen. Um den Fehler auszumerzen, empfiehlt der Entwickler des Moduls, auf Version 2.0.3 zu wechseln. Der Linux-Distributor Red Hat hat ebenfalls seine Pakete aktualisiert und zum Download bereit gestellt.

Siehe dazu auch:

    * mod_auth_pgsql Security Update Fehlerreport von Red Hat

Quelle und Links : http://www.heise.de/security/news/meldung/68109

[SiLæncer]

Das Authentifizerungsmodul für Apache gegen LDAP-Server mod_ldap ist anfällig für mehrere Format-String-Schwachstellen. Laut der Sicherheitsmeldung von Digital Armaments könnten sich Angreifer aus dem Netz darüber Zugriff mit den Rechten des Webservers auf das System verschaffen.

Das Sicherheitsloch wird durch die unsichere Verwendung der ap_log_rerror-Funktion gerissen, die unter anderem zum Protokollieren von fehlgeschlagenen Anmeldeversuchen dient. Beispielsweise wird der verwendete Benutzername bei der Anmeldung nicht ausreichend überprüft und eignet sich so zum Einschmuggeln von Befehlen, die dann auf dem Server ausgeführt werden.

Von dem Fehler betroffen sind die Versionen vor 1.6.1 des Authentifizierungsmoduls. Der Entwickler von mod_ldap, Dave Carrigan, hat auf die zweite Kontaktaufnahme durch Digital Armaments reagiert und mod_ldap in Version 1.6.1 bereitgestellt, die die Lücke schließt.

Siehe dazu auch:

    * Apache auth_ldap module Multiple Format Strings Vulnerability von Digital Armaments
    * Homepage und Download von mod_ldap
    * Changelog von mod_ldap

Quelle und Links : http://www.heise.de/security/news/meldung/68178

[SiLæncer]

Über eine etwas ungewöhnliche Sicherheitslücke in Debian-Systemen hat der Anwender Richard Thrippleton auf der Mailing-Liste Full Disclosure berichtet, mit der ein Anwender an Root-Rechte gelangen kann. Dem Fehlerbericht zufolge erhält der Webserver Apache auf Debian-Systemen die Verbindung mit dem Terminal beziehungsweise der Shell aufrecht, von der er gestartet wurde – der Apache wird zur Standardeingabe für die Shell.

Wird ein Apache manuell mittels einer Root-Shell gestartet und die Shell anschließend nicht geschlossen, so kann ein nicht privilegierter Anwender später mit speziellen CGI-Skripten eigene Zeichenketten an das Terminal senden und starten.

Der Fehler wurde in der unter Debian eingesetzten Apache-Version 1.3.34-4 gefunden. Andere Distributionen und der originale Apache enthalten den Fehler nicht. Zwar wird das Problem seit rund einem Monat in der Debian-Fehlerdatenbank diskutiert, einen offiziellen Patch gibt es aber noch nicht. Thrippleton beschwert sich in seinem Fehlerbericht auch darüber, dass die Entwickler sich nicht um die Behebung des Problems kümmern würden. Sarkastisch merkt er in seinem Posting an, dass sie offenbar mit wichtigerer Arbeit beschäftigt seien, wie der Portierung von Debian auf den alten Taschenrechner TI-86.

Bis zu einem Patch hilft es nur, die Shell nach einem Start oder Restart des Apache zu schließen.

Siehe dazu auch:

    * Local user to root escalation in apache 1.3.34 (Debian only), Fehlerbericht von Richard Thrippleton

Quelle und Links : http://www.heise.de/security/news/meldung/85928

[SiLæncer]

Die Apache-Foundation hat die Versionen 2.0.61 und 2.2.6 ihres HTTP-Servers veröffentlicht, in der neben zahlreichen Bug-Fixes auch fünf sicherheitsrelevante Fehler beseitigt sind. So können Angreifer nun nicht mehr die Module mod_proxy und mod_cache mit bestimmen Anfragen zum Absturz bringen oder über eine Schwachstelle in mod_mem_cache die Header vorheriger Verbindungen ausspähen. Zudem ist eine Cross-Site-Scripting-Schwachstelle im Modul mod_status behoben. Darüberhinaus ist eine DoS-Lücke im Prefork-MPM-Modul geschlosssen. Der Hersteller empfiehlt allen Anwendern, auf die aktuelle Version zu wechseln.

Siehe dazu auch:

    * Apache HTTP Server 2.2.6 Released, Ankündigung der Apache Foundation
    * Apache HTTP Server 2.0.61 Released, Ankündigung der Apache Foundation

Quelle und Links : http://www.heise.de/security/news/meldung/95666/Neue-Apache-Versionen-schliessen-Luecken

[SiLæncer]

Die Apache-Foundation hat die Apache-Versionen 2.2.8, 2.0.63 und 1.3.41 veröffentlicht, in denen die Entwickler einige Schwachstellen und zahlreiche nicht sicherheitsrelevante Fehler beseitigt haben. Die Versionen 2.2.7, 2.0.62 und 1.3.40 wurden dabei einfach übersprungen. Bei den Schwachstellen handelt es sich im Wesentlichen um die bereits bekannten XSS-Probleme in einigen Modulen.

Siehe dazu auch:

    * Changes with Apache 2.2.8, Liste der Änderungen in Apache 2.2.8
    * Changes with Apache 2.0.63, Liste der Änderungen in Apache 2.0.63
    * Changes with Apache 1.3.41, Liste der Änderungen in Apache 1.3.41

Quelle : http://www.heise.de/security/news/meldung/102313/Neue-Versionen-des-Webservers-Apache-erschienen--

[SiLæncer]

Einer der Server der Apache Software Foundation ist laut einer kurzzeitig auf Apache.org zu sehenden Meldung vermutlich Opfer eines Einbruchs geworden. Aus Sicherheitsgründen hat das Infrastruktur-Team erst einmal sämtliche Server von Netz genommen. Sie sind aber mittlerweile wieder erreichbar. Die europäischen Spiegelserver sollen nicht betroffen sein, deshalb leitet man mittels geänderter DNS-Einträge alle Anfragen dorthin um.

Über die genauen Hintergründe zum Einbruch gibt es noch keine Informationen. Offenbar wurde aber ein gestohlener SSH-Key von den Eindringlingen verwendet, um auf einen der Server zuzugreifen. Es sei keine Lücke für irgendeine Software der Apache Foundation missbraucht worden.

Die Apache Foundation hostet neben dem populären Apache-Webserver-Projekt noch viele andere Projekte wie SpamAssassin, Tomcat, Ant und Struts.

Quelle : www.heise.de

[SiLæncer]

Ende vergangener Woche haben unbekannte Angreifer mehrere Systeme der Apache Software Foundation (ASF) kompromittiert, bei der möglicherweise zahlreiche Passwörter ausgespäht wurden. Laut einem dazu vorliegenden Bericht der Foundation gingen die Unbekannten dabei sehr gezielt und hartnäckig vor.

Zunächst griffen sie einen von der ASF benutzten, kommerziellen Issue-Tracking-Server (Atlassian JIRA) an. Dabei verschickten sie Mails an mehrere Administratoren mit einem speziellen Link, der offenbar eine unbekannte Cross-Site-Scripting-Schwachstelle in JIRA ausnutzte, um Authentifizierungs-Cookies auszulesen. Gleichzeitig starteten die Angreifer eine Brute-Force-Attacke auf den Server, um mehrere Tausend Passwörter an JIRA-Konten durchzuprobieren.

Die Attacken führten in der Folge dazu, dass die Angreifer Zugriff auf ein Konto mit administrativen Rechten erhielten. Dies nutzten sie, um eine eigene Login-Maske auf dem JIRA-System zu installieren, um damit wiederum Passwörter von JIRA-Anwendern zu sammeln. Eines dieser Passwörter war das gleiche, das ein Administrator zum Zugang zum zugrundliegenden System (brutus.apache.org) benutzte, auf dem JIRA lief – sowie zusätzlich das Bugzilla-System und die kommerzielle Wiki-Software Conflucence.

Auf brutus.apache.org spähten die Eindringlinge außerdem gecachte Login-Daten des Subversion-Systems aus, die sie wiederum zum Anmelden an minotaur.apache.org (respektive people.apache.org), dem Haupt-Shell-Server, benutzten. Dort endete dann allerdings die Reise, da die Angreifer nur an unprivilegierte Konten gelangten und zudem die Administratoren der Apache Software Foundation den Einbruch bemerkten und die Systeme herunterfuhren.

Mittlerweile sind die Dienste wieder erreichbar, die kompromittierten Systeme (brutus) wurden aber vorsorglich ausgetauscht. Allerdings befürchten die Entwickler, dass die Angreifer Kopien der gehashten Passwörter der JIRA-, Bugzilla- und Confluence-Server erstellt haben. Zwar sollen diese mit SHA-512 beziehungsweise SHA-256 gehasht sein, bei einfachen Passwörtern lassen sich diese aber dennoch mit simplen Wörterbuchattacken schnell ermitteln. Anwender sollten also ihre Passwörter wechseln. Dies gilt insbesondere für die Anwender, die sich zwischen dem 6. und 9. April auf dem JIRA-System angemeldet haben. In diesem Zeitraum hatten die Angreifer nämlich die Login-Maske manipuliert.

Kurz nach dem Vorfall informierte die Apache Software Foundation Atlassian, den Hersteller von JIRA und Confluence sowie Slicehost, den Betreiber des geknackten Systems, von wo aus die Angriffe ihren Ursprung nahmen. Allerdings reagiert Slicehost nicht, sodass zwei Tage später die Angreifer den JIRA-Server von Atlassain direkt erfolgreich attackierten. Dort hat der Angriff aber offenbar erheblich größeren Schaden angerichtet, da auf dem System noch ein Backup einer älteren Datenbank mit unverschlüsselten Passwörter lag.

Quelle : www.heise.de

[SiLæncer]

Ubuntu hat ein Sicherheits-Update für Apache 2 zur Verfügung gestellt. Alle derzeit unterstützten Versionen erhalten das Update.

Die Aktualisierung für Apache 2 liefert Ubuntu für 6.06 LTS, 8.04 LTS, 9.04, 9.10 und 10.04 LTS aus. Ebenso betroffen sind die äquivalenten Sprösslinge Kubuntu, Edubuntu und Xubuntu. Das Update bessert eine Sicherheitslücke aus, die als weniger kritisch eingestuft ist und sich zur Manipulation bestimmter Daten ausnutzen lässt.

Das Update fügt die Direktive SSLInsecureRenegotiation hinzu, womit sich unsichere TLS/SSL-Renegotiation unterbinden lässt. Das Update lässt sich via der üblichen Aktualisierungs-Mechanismen einspielen. Sie finden weitere Details bei Ubuntu.

Quelle : www.tecchannel.de

[SiLæncer]

Aktuelle Versionen des weit verbreiteten Apache-Webservers können durch Fehler in der Behandlung von Byte-Range-Requests missbraucht werden, um den gesamten Server innerhalb weniger Sekunden zum Stillstand zu bringen.

Der in Perl geschriebene Proof-of-Concept "Apache Killer" wurde bereits auf Full Disclosure veröffentlicht. Das Script baut mehrere HTTP-Verbindungen zu einem Zielsystem auf und sendet GET-Anfragen mit einem 1300 Intervalle umfassenden Byte-Ranges-Header:

HEAD / HTTP/1.1
Host: ziel.host.tld
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5 [...] 5-1297,5-1298,5-1299

Byte Ranges werden im Standard HTTP 1.1 verwendet, um Teile einer Datei, zum Beispiel zum Fortsetzen eines abgebrochenen Downloads, ausliefern zu lassen. Der Apache-Webserver verbraucht beim offenbar fehlerhaften Parsen der unüblich komplexen Byte-Range-Anfragen innerhalb kurzer Zeit große Teile des Arbeitsspeichers. In unserem Test konnten verschiedene Apache-Versionen auf aktuellen Ubuntu- und Debian-basierten Webservern in wenigen Sekunden zum Stillstand gebracht werden. Die betroffenen Systeme froren vollständig ein und waren auch per SSH nicht mehr ansprechbar.

Gegenmaßnahmen

Bis das Apache Team offizielle Patches bereitstellt und diese von den Distributionen ausgeliefert werden, gibt es kaum Möglichkeiten, einem erfolgreichen Angriff vorzubeugen. Als Workaround wird das Filtern von mehrstufigen Byte-Range-Anfragen per mod_rewrite vorgeschlagen. Beim Zulassen nur weniger Byte Ranges sollten die meisten Web-Anwendungen weiterhin funktionieren.

Gravierender ist die komplette Filterung des Range-Headers durch das mod_header-Modul. Bei beiden Methoden muss im Einzelfall geprüft werden, welche Auswirkungen das auf die jeweilige Webseite hat. Insbesondere das Ausliefern größerer Dateien/Medien (Progressive Download) und WebDAV kann durch die Änderungen negativ beeinflusst werden.

Eine weitere Alternative ist das Vorschalten eines Reverse Proxy Servers, der entsprechende Anfragen direkt bedient oder filtert.

Die Apache-Entwickler warnen mittlerweile selbst vor dem Problem, das nach ihrer Erkenntnis bereits aktiv ausgenutzt wird. Eine neue, korrigierte Version des Apache Webservers soll innerhalb von 48 Stunden veröffentlicht werden.

Quelle : www.golem.de

[SiLæncer]

Die Apache Foundation hat Version 2.2.20 ihres HTTP Servers veröffentlicht, in der die kritische DoS-Schwachstelle beseitigt ist. Eine Vielzahl verschachtelteter Byte-Range-Angaben in GET- oder HEAD-Requests führt zu einem hohen Speicherverbrauch des Apache-Webservers. Mehrere derartiger Anfragen können einen Server zum Stillstand bringen.

Ein Tool zur Demonstration des Problems ist seit einer Woche im Umlauf. Berichte über Angriffe auf bekannter Websites gab es allerdings nicht.

Administratoren können nach der Installation des Patches die Workarounds zum Filtern oder Umschreiben von Byte-Range rückgängig machen. Unter Umständen führten die Workarounds dazu, dass sich Downloads nicht fortsetzen lassen oder WebDAV nicht korrekt funktioniert.

Quelle : www.heise.de

[SiLæncer]

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt.

Quelle : www.heise.de

[SiLæncer]

Die jetzt veröffentlichte Version 2.4.3 des freien Webservers der Apache-Foundation behebt etliche Fehler und schließt zwei Sicherheitslücken. Sie befanden sich in den Proxy-Modulen mod_proxy_aip und mod_proxy_http sowie im Modul mod_negotiation.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Mitarbeiter der Web-Sicherheitsfirma Sucuri haben manipulierte Binaries des freien Webservers Apache entdeckt. Sie laden ohne Zutun des Anwenders Schadcode oder andere Inhalte von Websites nach. Betroffen sind offenbar bislang nur Dateien, die mit dem Administrationswerkzeug cPanel installiert wurden. Nach Informationen von ESET sollen mehrere hundert Webserver befallen sein.

Der Linux/Cdorked.A getaufte Angriff ist schwer zu entdecken: Da cPanel den Webserver nicht mit den üblichen Paketsystemen wie RPM installiert, helfen deren Verifikationsmechanismen nicht weiter. Außerdem verändern die Angreifer das Dateidatum nicht, sodass ein einfacher Blick auf ein Verzeichnis-Listing keinen Hinweis gibt. Laut Sucuri soll die Suche nach der Zeichenkette open_tty einen sicheren Hinweis auf ein manipuliertes Binary geben: grep -r open_tty /usr/local/apache/ liefere bei intakten Apache-Binaries keine Ausgabe.

Der ganze Artikel

Quelle : www.heise.de