• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Sicherheitsproblem Suse/Apache Nullsession Exploit

HerrBert

Newbie
ch bin noch quasi neu im Apache Umfeld und auch nicht wirklich ein Unix Crack.
Seit kurzem betreue ich einen Typo3 Server unter OpenSuse 12.1 mit Apache 2.2.21.

Nach einem Nessus Sicherheitscheck wurden 2 Probleme fest gestellt:
Code:
a: Vulnerability: nullsession exploitable, can list open shares
ToDo: Prevent representation of the folder shares in search lists or folder names being read out by means of null sessions.

b: Vulnerability: nullsession exploitable, can read registry
ToDo: Prevent registry contents being read out by means of null sessions.

Ich habe nicht mal eine Ahnung wo ich anfangen soll.

und bei b: registry? Apache?
 

spoensche

Moderator
Teammitglied
Hast du die Typo3 Webseite auf Schwachstellen abgeklopft oder den Apache selbst?

Den Meldungen nach zu Urteilen hast du die Typo3 Webseite abgeklopft. Typo3 hat eine Registry, der Apache nicht.

Du musst da schon konkreter werden wen oder was du getestet hast, welche Module du verwendet hast etc.

Kurz gesagt Butter bei die Fische. ;)
 
OP
H

HerrBert

Newbie
Ja, irgendwie hatte ich mich auf Apache versteift, dank den ApacheFreunden, ist es wohl eher Samba.
Das Typo3 irgendwelche Freigaben verwaltet wüßte ich nicht, gut PHP könnte da auch mit reinspielen.
 

spoensche

Moderator
Teammitglied
HerrBert schrieb:
Ja, irgendwie hatte ich mich auf Apache versteift, dank den ApacheFreunden, ist es wohl eher Samba.
Das Typo3 irgendwelche Freigaben verwaltet wüßte ich nicht, gut PHP könnte da auch mit reinspielen.

Samba? Definitiv nicht.

Mit folder Shares ist bei Typo3 folgendes gemeint:

Verzeichnisse können für Benutzer gemountet werden. Dies hat den Vorteil das man die Zugriffsrechte exakt konfigurieren kann. Damit aber auch die Webseiten Besucher auf Verzeichnisse zugreifen können, z.B. Bilder etc. werden die Verzeichnisse freigegeben.

Daher stammt auch der Name Folder Shares.

Diese Shares werden in der jeweiligen Session des Users gespeichert. Da ein Webseiten Besucher aber keine dauerhafte Session besitzt, weil sie ihm nicht erneut zu geordnet werden kann, da der User nicht eindeutig identifiziert werden kann, z.B. durch einen Login. In diesem Fall führt es leider zu einem Exploit.

Um ein Update deiner Typo3 Installation wirst du also nicht herum kommen.

PS:
Ein kleiner Tipp zur Erhöhung der Sichereit des Apache. Es gibt ein Modul Namens mod_security. Dieses Modul ist quasi eine Art Intrusion Prevention System, das anhand von Regelsätzen SQL Injections, XSS, CSRF Angriffe etc. unterbinden kann.
 
OP
H

HerrBert

Newbie
ich habe die smb.conf modifiziert
guest account = nobody
restrict anonymous = 1

bist jetzt hatte ich kein neues SecurityTicket bekommen.
 

spoensche

Moderator
Teammitglied
HerrBert schrieb:
ich habe die smb.conf modifiziert
guest account = nobody
restrict anonymous = 1

bist jetzt hatte ich kein neues SecurityTicket bekommen.

Das hat nichts mit Samba zu tun. Samba ist vollkommen unabhängig vom Apache und kann dort auch keinerlei Exploit hervorrufen. Hast du meinen vorherigen Post übrhaupt gelesen? Da hab ich nämlich erlklärt wie das Problem zustande kommt.
 
Oben