Menü

Apache: Kille, kille, du gehörst mir

vorlesen Drucken Kommentare lesen 7 Beiträge

Häufig begegnet man der Skript-Sprache Tool command language, kurz Tcl (ausgesprochen wie "tickle", engl. kitzeln) nicht mehr, meist nur noch in Kombination mit dem Toolkit Tk bei der grafischen Konfiguration des Linux-Kernels. Für den Open-Source-Webserver Apache gibt es immerhin noch ein Modul mod_tcl, in dem nun eine Lücke entdeckt wurde. So findet sich nach Angaben des Sicherheitsdienstleisters iDefense im Modul für Apache 2.x eine Format-String-Schwachstelle, mit der ein Angreifer seinen bösartigen Code in den Server schleusen und mit dessen Rechten starten kann.

Für einen erfolgreichen Angriff muss aber ein Skript auf dem Server vorliegen, welches Benutzerparameter mit der verwundbaren Funktion set_var() verarbeitet. Einzelheiten dazu sind dem Fehlerbericht von iDefense zu entnehmen. Betroffen ist die Version mod_tcl 1.0. Die Entwickler haben die Lücke in der Version 1.0.1 beseitigt – zwei Monate nachdem sie von iDefense darüber informiert wurden.

Siehe dazu auch: (dab)