In der folgenden Tabelle sind bekannte Sicherheitsprobleme von Web Server aufgeführt.
Tabelle 15 Bekannte Sicherheitsprobleme
Problem-ID |
Beschreibung |
---|---|
6433752 |
SSL-Überprüfung funktioniert nicht mit NSAPI-basiertem Plug-In. "PathCheck fn="ssl-check" secret-keysize=128 bong file="xxxxx.yyy.html" Wenn bei statischen Dateianforderungen der Wert secret-keysize des Clients kleiner als die vom Server festgelegte Größe und ein bong-file-Parameter vorhanden ist, wird dieser bong-file-Parameter als Antwort zurückgegeben. Anforderungen für dynamische Inhalte (z. B. JSP-Dateien) geben jedoch das tatsächlich angeforderte Objekt (z. B. die JSP-Datei) und nicht den bong-file-Parameter zurück. |
6421617 |
Problem mit vom Server analysiertem HTML-Code (ParseHTML) und .htaccess bei Einschränkung nach Gruppe. Authentifizierung ist beim Parsen durch eine HTML-Datei erfolgreich, die shtml-include-Einträge aufweist und für die Authentifzierung über .htaccess konfiguriert ist, wobei die Option zur Einschränkung nach Gruppe aktiviert wurde. Wenn der Gruppenbenutzer authentifiziert wird, sind auf der Ergebnisseite keine Einträge mit SHTML enthalten. Dies funktioniert jedoch ohne Probleme, wenn für den Benutzer in der .htaccess-Datei die Option zur Einschränkung nach Benutzer aktiviert ist.
|
6376901 |
Begrenzte Unterstützung von basic- und digest-basierten ACLs für Ressourcen in demselben Verzeichnis. Wenn der Server digest- und basic-basierte ACLs in unterschiedlichen Teilen des Dokumentenverzeichnisses verwenden, ist das gleichzeitige Verwenden beider ACLs auf verschiedenen Dateien oder Ressourcen in demselben Verzeichnis nicht möglich. |
6431287 |
TLS_ECDH_RSA_* erfordert ein mit RSA-Schlüsseln signiertes Serverzertifikat. Verschlüsselungssuiten der Form TLS_ECDH_RSA_* erfordern, dass der Server über ein ECC-Schlüsselpar mit einem Zertifikat verfügt, das unter Verwendung von RSA-Schlüsseln signiert wurde. Beachten Sie, das dies die Verwendung von Verschlüsselungssuiten mit selbst signierten Zertifikaten ausschließt. Hierbei handelt es sich um eine Eigenschaft dieser Verschlüsselungssuiten und nicht um einen Fehler. Der Server sollte falsche Konfigurationen in Bezug auf diese Verschlüsselungssuiten ermitteln und eine Fehlermeldung anzeigen. Dies ist jedoch nicht der Fall. |
6467621 |
Anforderung an den Server schlägt bei der Verwendung von "Sun Software PKCS#11 softtoken" fehl. Weitere Informationen zur Konfiguration von Web Server unter Solaris 10 libpkcs11 finden Sie in folgenden Dokumenten: http://www.sun.com/bigadmin/features/articles/web_server_t1.html |
6474584 |
dayofweek nimmt "*" nicht als Option an. Legen Sie z. B. eine ACL wie folgt fest: acl "uri=/"; deny (all) dayofweek="*"; allow (all) dayofweek="Sat,Sun"; In diesem Programm wird der Zugriff auf alle Wochentage außer Samstag und Sonntag festgelegt. Dieses Programm arbeitet nicht wie Sie. Sie können montags erfolgreich auf die ACL zugreifen. Umgehung Legen Sie die ACL folgendermaßen fest, um den ACL-Zugriff auf Montag bis Freitag zu beschränken. acl "uri=/"; deny (all) dayofweek="Mon,Tue,Web,Thu,Fri"; allow (all) dayofweek="Sat,Sun"; Hierdurch wird die Anforderung an einem Montag abgelehnt. |
6489913 |
Cache für SSL-Sitzung kann nicht deaktiviert werden. Sitzungscache ist standardmäßig aktiviert. Wenn der Sitzungs-Cache deaktiviert ist und auf die URL durch das HTTP-Protokoll zugegriffen wird, wird die URL nicht zugelassen, und das Serverprotokoll zeigt eine Fehlermeldung an, die darauf hinweist, dass SSL nicht ohne session-cache konfiguriert werden kann. Umgehung Verringern Sie die SSL-Cachegröße und den Ablauf auf die unterstützten Minimalwerte. |
6510486 |
htaccess-Regeln können im Speicher beschädigt werden. Wenn eine einzelne .htaccess-Datei mit mehr als fünf Regeln für das Zulassen oder Verweigern verknüpft ist, kann es zu Beschädigungen einiger Regeln im Speicher kommen. Wenn dies geschieht, werden einige der Regeln möglicherweise umgangen. Umgehung Beschränken Sie eine einzelne .htaccess-Datei auf maximal fünf Regeln. Anstelle von htaccess können Sie auch das ACL-Subsystem verwenden, um den Zugriff auf die Serverressourcen zu steuern. Informationen zum Einrichten von Zugriffssteuerungslisten (Access Control List, ACL) finden Sie im Sun Java System Web Server 7.0 Administrator’s Guide. |