Ein Fehler im SSL-Modul mod_ssl kann dazu führen, dass unauthorisierte Anwender Zugang zu geschützten Web-Seiten erlangen. Die Authentifizierung über Client-Zertifikate lässt sich umgehen, wenn diese nicht für den ganzen (virtuellen) Server sondern nur für Teilbereiche erforderlich ist.
Standardmäßig erfolgt bei verschlüsselten SSL-Verbindungen zu einem Web-Server (https) keine Client-Authentifizierung, lediglich der Server muss sich ausweisen. Zum Beispiel für die Zugangsbeschränkungen zu den immer beliebteren Virtual Private Networks auf SSL-Basis (SSL-VPN) aktiviert man jedoch dieses Feature im Web-Server. Der Anwender muss sich dann durch ein gültiges SSL-Zertikat beim Web-Server ausweisen, um Zugang zum Firmennetz zu erhalten.
Betroffen sind Apache-Server, die das SSL-Modul mod_ssl einsetzen, das bei den 1.3er-Versionen allerdings noch nicht zum Lieferumfang gehört. Dort kommt standardmäßig noch Apache-SSL zum Einsatz. Das mod_ssl-Team stellt für Administratoren, die Apache 1.3 mit mod_ssl nutzen, eine fehlerbereinigte Version 2.8.24 bereit. Bei Apache 2, der mod_ssl bereits standardmäßig enthält, haben die Entwickler einen Patch in die CVS-Version eingebaut, der allerdings noch nicht in die Release-Version zurückportiert wurde.
Siehe dazu auch:
* Security Advisory für Apache 1.3 mit mod_ssl
* Changelog für das Apache 2 CVS
* CVS-Patch in Apache 2.3.0
Quelle und Links :
http://www.heise.de/newsticker/meldung/63569
