Hi an alle Computerspezies,

folgendes ist mir heute passiert:

Es kam 'ne Mail von einer unserer Tochterfirmen, die unaufgefordert 'ne Sicherheitsüberprüfung unseres Internet-Servers gemacht haben. So weit so gut - is nix dolles bei rausgekommen. Aber zwei Sachen beschäftigen mich nun doch - Hier die eine Aussage:

They Allow HTTP Methods: GET, HEAD, OPTIONS, TRACE
HTTP method 'TRACE' may allow client XSS or credential theft.
Apache/1.3.27 appears to be outdated (current is at least Apache/2.0.44).
mod_perl/1.25 appears to be outdated (current is at least 1.26)
FrontPage/4.0.4.3 appears to be outdated (current is at least 5.0.2.2623)

Gezz meine Fragen: Was issen das für 'ne Sicherheitslücke von wegen "Trace"? Und wenn's wirklich eine is - was mach ich dagegen?

Zu Apache und mod_perl - das sind die Teile, die Uunet automatisch aufspielt - muß ich da jetzt alle Hebel in Bewegung setzen, daß wir die neuen Versionen kriegen? Und sind die alten etwa 'ne Sicherheitslücke?

Und noch was - bei uns gibt es einige Verzeichnisse, in denen wiederum nur Verzeichnisse enthalten sind (also keine index.html o.ä.). Wenn ich jetzt also per Hand in die URL nur die Adresse bis zum verzeichnisseenthaltenden Verzeichnis eintippe, wird mir die Indexdatei mit den Unterverzeichnissen angezeigt. Is ja eigentlich nicht schlimm, aber unschön. Jetzt kann ich zwar jedes einzelne Verzeichnis mit chmod dagegen sperren - aber das is mir zuviel Act. Gibts da nicht 'ne elegantere Möglichkeit?

Vielen Dank schomma im voraus und Gruß

Oly

Hi Oly,

zu TRACE:

The TRACE method is used to invoke a remote, application-layer loop- back of the request message. The final recipient of the request SHOULD reflect the message received back to the client as the entity-body of a 200 (OK) response. The final recipient is either the origin server or the first proxy or gateway to receive a Max-Forwards value of zero (0) in the request (see section 14.31). A TRACE request MUST NOT include an entity.

TRACE !! allows the client to see what is being received at the other end of the request chain and use that data for testing or diagnostic information. !! The value of the Via header field (section 14.45) is of particular interest, since it acts as a trace of the request chain. Use of the Max-Forwards header field allows the client to limit the length of the request chain, which is useful for testing a chain of proxies forwarding messages in an infinite loop.

If the request is valid, the response SHOULD contain the entire request message in the entity-body, with a Content-Type of "message/http". Responses to this method MUST NOT be cached.

Auszug aus HTTP Methods rfc2616, weiter Infos unter:

http://www.w3.org/Protocols/

und

http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html


ZumOrdner Problem:
Apache bietet meines Wissens in der httpd.conf die Möglichkeit bei solchen Strukturen eine vordefinierte html Datei an den Client zu senden. In der httpd.default (wird bei jeder Installation mitgeliefert) sind dazu Beispiele.

Näheres bei Wunsch später.

Guido

Hi Oly,

: Zu Apache und mod_perl - das sind die Teile, die Uunet automatisch aufspielt - muß ich da jetzt alle Hebel in Bewegung setzen, daß wir die neuen Versionen kriegen? Und sind die alten etwa 'ne Sicherheitslücke?

die lange Version erspar ich uns mal. Hier die kurze Version: entweder man macht das alles selbst, stellt sich einen eigenen Server in eigener Betreiberverantwortung dahin und sieht zu, daß man alle Sicherheitsupdates etc. einspielt. In dem Fall ist der Scan von Belang. Oder man überläßt das jemandem, der sich damit auskennt, und die uunet-Leute sind fit, und kümmert sich nicht weiter drum. Die haben die Betreiberverantwortung, die übernehmen auch die Schuld, wenn was schiefgehen sollte, auch für die älteren (und meist stabileren) Versionen des Apache Webservers gibt es Sicherheitsupdates und die werden von uunet sicher auch eingespielt worden sein.

: Und noch was - bei uns gibt es einige Verzeichnisse, in denen wiederum nur Verzeichnisse enthalten sind (also keine index.html o.ä.).

Es gibt da natürlich den Königsweg mit .htaccess Datei und so, aber die einfachste Lösung ist ne leere index.html mit 0 Bytes in dem Verzeichnis. Etwas eleganter ist eine index-html mit einem Redirector auf die Startseite, guck mal http://www.aussensaiter.de/download/ als Beispiel.

Keep rockin'
Friedlieb

Hi you zwei,

: Es gibt da natürlich den Königsweg mit .htaccess Datei und so, aber die einfachste Lösung ist ne leere index.html mit 0 Bytes in dem Verzeichnis. Etwas eleganter ist eine index-html mit einem Redirector auf die Startseite, guck mal http://www.aussensaiter.de/download/ als Beispiel.

Das tut mir aber nun doch wundern, bei unserem Server hat sich doch vor ca. einem Jahr die Diskussion ergeben, gerade weil ein nicht-index ordner nicht mehr gelistet wurde. Und genau dieser Wechsel wurde doch mit Sicherheit begruendet?

well, wie auch immer, ich gehe jetzt Rock machen, bis spaeter!
ullli

Hi ul³i,

: Das tut mir aber nun doch wundern,

kein Wunder. :-) Du erbst da eine völlig andere .htaccess aus einem übergeordneten Verzeichnis, das ist ein komplett anderes Umfeld und damit auch Thema.

Keine Zeit für lange Version, weil...

: well, wie auch immer, ich gehe jetzt Rock machen, bis spaeter!

...ich jetzt auch rocken geh'

Keep genaudas
Friedlieb

: Du sollst nicht begehren Deines nächsten Inhaltsverzeichnis.

rotfl!

gruß falk :-)

Merci bien, Monsieur - nur so ganz verstanden hab ich es nicht :-)))

Ich hab' aber auch Juchuunet angemailt und die meinten, daß es da keine Sicherheitsprobleme mit gäbe.

Die httpd werd' ich mir mal zu Gemüte führen.

Nomma Danke und Gruß

Roger

Danke Compulieb :-))

Jup - das mit den Juchuunet-Leuten seh' ich auch so. Von denen kam auch heute morgen'ne ausführliche Erklärung über das wieso, weshalb, warum. :-)))

Der Hintergrund für diese ganze Aktion ist mir nach 'nem Gespräch mit meinem Boss jetzt auch etwas klarer. Kurze Erklärung und einen kleinen Einblick in die Politik von großen Unternehmen und Banken: Eine unserer Tochterfirmen meinte, daß sie mal ihre Sicherheitsstandards überprüfen müßten. Jeder normal sterbliche hätte jetzt 'ne Firma beauftragt - nicht so bei unserer Tochterfirma. Da wird gleich 'ne ganze Abteilung gegründet, in der Hoffnung, diese Dienstleistung auch anderen anzubieten. Da diese Abteilung aber nun wohl Schwierigkeiten hat, Kunden zu finden, haben sie sich gedacht, daß sie einfach mal alle angeschlossenen Unternehmen "beglücken" - selbstverständlich gegen Bezahlung. Und was macht man nun, um sich in einem Feld, in denen viele Leute keine Ahnung haben, wichtig zu machen? Man schürt Panik. Klugerweise geht man mit dieser Panikmache nicht zu den eigentlichen Verantwortlichen (in dem Fall zu mir oder noch besser zu Uunet) sondern man geht direkt zum Vorstand. (Vorstand sind die, die als Staubfänger 'nen 486er auf ihrem Schreibtisch stehen haben und der nur ein einziges Mal angeschaltet war - als er vor 10 Jahren installiert wurde :-)) Die meisten Sachen die von diesen Sicherheitsbeamten bemängelt wurden, waren so ein dermaßener Blödsinn, daß ich solche Leute nicht mal meine Tastatur reinigen lassen würde - das einzige wo ich mir etwas unsicher war, war eben diese Sache mit dem "trace".

Glücklicherweise war die Antwort von Uunet so dermaßen schön, daß ich sie als Rundmail an alle Vorstände und Bereichsleiter geschickt habe :-))))

Zu den Sachen mit den Verzeichnissen: htaccess setz' ich schon ein - das Problem ist, das unser Auftritt so dermaßen mit Symlinks, ssis, perls, mysqls usw. aufgebaut ist, daß 'ne htaccess an 'ner falschen Stellen 'ne ganze Mengen blockieren kann. Da ich davon das wenigste selbst programmiert hab', sind da hier und da doch einige Strukturen, die ich ganz einfach übersehen könnte.

Die Blind-Index ist 'ne gute Idee, den setz ich auch an einigen Stellen ein - aber das Rausfinden, wo ich überall eine bräuchte, is mir dann doch zuviel Akt :-))) Gibt's da nicht eventuell 'n Unix-suchen-Befehl, der mir die Pfade anzeigt, in denen KEINE index.html drin vorkommt? Ich denke mal, das wäre die einfachste Lösung.

Nochmals vielen Dank und Gruß

Oly

Hi Oly,

: das Rausfinden, wo ich überall eine bräuchte, is mir dann doch zuviel Akt :-))) Gibt's da nicht eventuell 'n Unix-suchen-Befehl, der mir die Pfade anzeigt, in denen KEINE index.html drin vorkommt?

gibts für irgendwas unter Unix keinen Befehl?

find . -type d -exec ls {}/index.html ';' | grep "No such file or directory"

Will sagen: Finde (find) ausgehend vom aktuellen Verzeichnis (der Punkt, ersetze ggf. durch ein Startverzeichnis Deiner Wahl) alle Unterverzeichnisse (type -d) und starte je Suchergebnis einen weiteren Befehl (-exec BEFEHL ';'), und zwar den Befehl "liste Inhaltsverzeichnis (ls) Datei index.html im gefundenen Verzeichnis" (der Ausdruck {} wird durch den Namen des jeweils gefundenen Unterverzeichnisses ersetzt). Zeige anschließend nur die Zeilen Output an, die eine Fehlermeldung "Datei nicht gefunden" darstellen (| grep "trallafitti" - ersetze ggf. trallafitti durch die "file not found" Meldung Deines Unix, die Du mit "ls diesedateigibbetnit" rausfindest).

Ich würde das aber, obwohl ich mich der schlichten Eleganz solcher Einzeiler nur schwer entziehen kann, ein Script draus machen, weil Deine Jungs sicher fröhlich weiter leere Unterverzeichnisse anlegen werden und wenn es dann darum geht, sowas regelmäßig nachzupflegen, ist ein einfacher Script-Aufruf sicher leichter zu merken als dieser Befehl.

Keep rockin'
Friedlieb

Ha, genial :-))))

War nämlich einer meiner wichtigsten Sätze im Einstellungsgespräch: "Nö - viel Ahnung hab ich nicht, aber ich kenn' Leute mit Ahnung" :-))))

Herzichsten Dank und bis eventuell in Düsburch (weiß leider noch nicht, ob es bei mir klappt)

Oly

Hi Oly,

: "Nö - viel Ahnung hab ich nicht, aber ich kenn' Leute mit Ahnung" :-))))

/me trinkt Pils. Freitag, heute in 7 * 24 Stunden. Und wage nicht, Dich zu drücken. ;-)

: Herzichsten Dank und bis eventuell in Düsburch (weiß leider noch nicht, ob es bei mir klappt)

Siehste, da gehts schon los...

Keep rockin'
Friedlieb