欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Apache mod_session_crypto模块中的Padding Oracle漏洞分析

来源:本站整理 作者:佚名 时间:2017-01-05 TAG: 我要投稿

近日,安全研究人员在Web服务器Apache的mod_session_crypto模块中发现了一个Padding Oracle漏洞。攻击者可以利用这个漏洞来解密会话数据,甚至可以用来对指定的数据进行加密。
漏洞细节
产品:Apache HTTP Server mod_session_crypto
受影响的版本:2.3到2.5
已经修复的版本:2.4.25
漏洞类型:Padding Oracle
安全风险:高
供应商网址:https://httpd.apache.org/docs/trunk/mod/mod_session_crypto.html
供应商状态:已经发布修复版
公告网址:https://www.redteam-pentesting.de/advisories/rt-sa-2016-001.txt
公告状态:已发布
CVE:CVE-2016-0736
CVE网址:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0736
引言
人们可以联合使用Apache HTTP服务器的mod_session_crypto模块、mod_session模块和mod_session_cookie模块,将会话数据存储到用户浏览器中的加密Cookie中。这样可以避免使用服务器端会话状态,从而便于将传入的HTTP请求分配到多个不需要共享会话状态的应用程序Web服务器上面。
更多细节
模块mod_session_crypto使用对称加密技术来加密和解密会话数据,并使用mod_session将加密后的数据存储到用户浏览器的Cookie(通常称为“会话”)中。之后,可以将解密的会话用于应用程序的环境变量或自定义的HTTP请求头部中。应用程序可以添加自定义的HTTP响应头部(通常是“X-Replace-Session”),通知HTTP服务器使用该头部的值替换该会话的内容。设置mod_session和mod_session_crypto的具体方法请参考下列文档:
https://httpd.apache.org/docs/2.4/mod/mod_session.html#basicexamples
模块mod_session_crypto被配置为使用3DES或AES加密算法(密钥大小视具体情况而定),默认为AES256。具体的加密工作是由函数“encrypt_string”完成的:
modules/session/mod_session_crypto.c
/**
 * Encrypt the string given as per the current config.
 *
 * Returns APR_SUCCESS if successful.
 */
static apr_status_t encrypt_string(request_rec * r, const apr_crypto_t *f,
        session_crypto_dir_conf *dconf, const char *in, char **out)
{
[...]
    apr_crypto_key_t *key = NULL;
[...]
    const unsigned char *iv = NULL;
[...]
    /* use a uuid as a salt value, and prepend it to our result */
    apr_uuid_get(&salt);
[...]
    res = apr_crypto_passphrase(&key, &ivSize, passphrase,
            strlen(passphrase),
            (unsigned char *) (&salt), sizeof(apr_uuid_t),
            *cipher, APR_MODE_CBC, 1, 4096, f, r->pool);
[...]
    res = apr_crypto_block_encrypt_init(&block, &iv, key, &blockSize, r->pool);
[...]
    res = apr_crypto_block_encrypt(&encrypt, &encryptlen, (unsigned char *)in,
            strlen(in), block);
[...]
    res = apr_crypto_block_encrypt_finish(encrypt + encryptlen, &tlen, block);
[...]
    /* prepend the salt and the iv to the result */
    combined = apr_palloc(r->pool, ivSize + encryptlen + sizeof(apr_uuid_t));
    memcpy(combined, &salt, sizeof(apr_uuid_t));
    memcpy(combined + sizeof(apr_uuid_t), iv, ivSize);
    memcpy(combined + sizeof(apr_uuid_t) + ivSize, encrypt, encryptlen);
    /* base64 encode the result */
    base64 = apr_palloc(r->pool, apr_base64_encode_len(ivSize + encryptlen +
                    sizeof(apr_uuid_t) + 1)
            * sizeof(char));
[...]
    return res;
}
源代码显示加密密钥是根据配置的密码和随机选择的salt通过调用函数“apr_crypto_passphrase”生成的。这个函数在内部使用PBKDF2来生成钥匙。然后,对数据进行加密,并将salt和IV放到加密后的数据前面。在返回之前,该函数会对加密数据进行base64编码处理。
由于这个过程无法保证密文的完整性,所以Apache模块无法检测会话送回服务器之前是否已经被篡改了。这常常意味着攻击者能够利用Padding Oracle漏洞发动攻击,即对会话进行解密并加密指定的任意数据。
概念验证代码(POC)
下面我们来复现这个安全漏洞。首先,启用模块mod_session、mod_session_crypto和mod_session_cookie,并进行如下所示的配置:
Session On
SessionEnv On
SessionCookieName session path=/
SessionHeader X-Replace-Session
SessionCryptoPassphrase RedTeam
此外,为文件夹编写一个如下所示的CGI脚本,然后将该CGI脚本保存为“status.rb”,供客户端使用:
#!/usr/bin/env ruby
require 'cgi'

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载