Fehler in Apaches SSL-Modul

21. September 2004, 10:30
posten

Entwickler warnen vor neuem Bug - Angreifer können Server zum Absturz bringen

Die Entwickler des freien Webservers Apache warnen in einem Security Advisory vor einem weiteren Fehler im SSL-Modul. Diese Lücke ermöglicht es angreifern den Webserver zum Absturz zu bringen.

Reverse-Proxy-SSL-Verbindungen

Der Fehler liegt im Modul mod_ssl des freien Web-Servers Apache 2.0. Dieses Modul wird für verschlüsselte (Reverse-Proxy-SSL-)Verbindungen benutzt. Der Server dient dann als Relay zwischen dem eigentlichen Webserver und dem Client. Der Fehler im Modul ssl_engine_io in der Funktion char_buffer_read() kann zu einer Buffer Overflow-Attacke genutzt werden. Der Fehler soll allerdings nur bei Verwendung so genannter RewriteRules auftreten. Ein Angreifer muss zudem den Ziel-Webserver manipulieren. Betroffen von dieser Lücke ist auch die aktuelle Version Apache 2.0.50.(red)

Share if you care.