Versionshinweise zu Sun Java System Web Server 7.0

Sicherheit

In der folgenden Tabelle sind bekannte Sicherheitsprobleme von Web Server aufgeführt.

Tabelle 15 Bekannte Sicherheitsprobleme

Problem-ID 

Beschreibung 

6433752 

SSL-Überprüfung funktioniert nicht mit NSAPI-basiertem Plug-In.

"PathCheck fn="ssl-check" secret-keysize=128 bong file="xxxxx.yyy.html" 

Wenn bei statischen Dateianforderungen der Wert secret-keysize des Clients kleiner als die vom Server festgelegte Größe und ein bong-file-Parameter vorhanden ist, wird dieser bong-file-Parameter als Antwort zurückgegeben. Anforderungen für dynamische Inhalte (z. B. JSP-Dateien) geben jedoch das tatsächlich angeforderte Objekt (z. B. die JSP-Datei) und nicht den bong-file-Parameter zurück.

6421617 

Problem mit vom Server analysiertem HTML-Code (ParseHTML) und .htaccess bei Einschränkung nach Gruppe.

Authentifizierung ist beim Parsen durch eine HTML-Datei erfolgreich, die shtml-include-Einträge aufweist und für die Authentifzierung über .htaccess konfiguriert ist, wobei die Option zur Einschränkung nach Gruppe aktiviert wurde. Wenn der Gruppenbenutzer authentifiziert wird, sind auf der Ergebnisseite keine Einträge mit SHTML enthalten. Dies funktioniert jedoch ohne Probleme, wenn für den Benutzer in der .htaccess-Datei die Option zur Einschränkung nach Benutzer aktiviert ist.

 

6376901  

Begrenzte Unterstützung von basic- und digest-basierten ACLs für Ressourcen in demselben Verzeichnis.

Wenn der Server digest- und basic-basierte ACLs in unterschiedlichen Teilen des Dokumentenverzeichnisses verwenden, ist das gleichzeitige Verwenden beider ACLs auf verschiedenen Dateien oder Ressourcen in demselben Verzeichnis nicht möglich. 

6431287  

TLS_ECDH_RSA_* erfordert ein mit RSA-Schlüsseln signiertes Serverzertifikat.

Verschlüsselungssuiten der Form TLS_ECDH_RSA_* erfordern, dass der Server über ein ECC-Schlüsselpar mit einem Zertifikat verfügt, das unter Verwendung von RSA-Schlüsseln signiert wurde. Beachten Sie, das dies die Verwendung von Verschlüsselungssuiten mit selbst signierten Zertifikaten ausschließt. Hierbei handelt es sich um eine Eigenschaft dieser Verschlüsselungssuiten und nicht um einen Fehler. Der Server sollte falsche Konfigurationen in Bezug auf diese Verschlüsselungssuiten ermitteln und eine Fehlermeldung anzeigen. Dies ist jedoch nicht der Fall.

6467621  

Anforderung an den Server schlägt bei der Verwendung von "Sun Software PKCS#11 softtoken" fehl.

Weitere Informationen zur Konfiguration von Web Server unter Solaris 10 libpkcs11 finden Sie in folgenden Dokumenten:

http://www.sun.com/bigadmin/features/articles/web_server_t1.html

http://www.sun.com/blueprints/browsedate.html#0306

6474584  

dayofweek nimmt "*" nicht als Option an.

Legen Sie z. B. eine ACL wie folgt fest:  

acl "uri=/"; 
deny (all) dayofweek="*"; 
allow (all) dayofweek="Sat,Sun";

In diesem Programm wird der Zugriff auf alle Wochentage außer Samstag und Sonntag festgelegt. Dieses Programm arbeitet nicht wie Sie. Sie können montags erfolgreich auf die ACL zugreifen. 

Umgehung

Legen Sie die ACL folgendermaßen fest, um den ACL-Zugriff auf Montag bis Freitag zu beschränken.  

acl "uri=/";
deny (all) dayofweek="Mon,Tue,Web,Thu,Fri";
allow (all) dayofweek="Sat,Sun";

Hierdurch wird die Anforderung an einem Montag abgelehnt. 

6489913  

Cache für SSL-Sitzung kann nicht deaktiviert werden.

Sitzungscache ist standardmäßig aktiviert. Wenn der Sitzungs-Cache deaktiviert ist und auf die URL durch das HTTP-Protokoll zugegriffen wird, wird die URL nicht zugelassen, und das Serverprotokoll zeigt eine Fehlermeldung an, die darauf hinweist, dass SSL nicht ohne session-cache konfiguriert werden kann.

Umgehung

Verringern Sie die SSL-Cachegröße und den Ablauf auf die unterstützten Minimalwerte. 

6510486 

htaccess-Regeln können im Speicher beschädigt werden.

Wenn eine einzelne .htaccess-Datei mit mehr als fünf Regeln für das Zulassen oder Verweigern verknüpft ist, kann es zu Beschädigungen einiger Regeln im Speicher kommen. Wenn dies geschieht, werden einige der Regeln möglicherweise umgangen.

Umgehung

Beschränken Sie eine einzelne .htaccess-Datei auf maximal fünf Regeln.

Anstelle von htaccess können Sie auch das ACL-Subsystem verwenden, um den Zugriff auf die Serverressourcen zu steuern. Informationen zum Einrichten von Zugriffssteuerungslisten (Access Control List, ACL) finden Sie im Sun Java System Web Server 7.0 Administrator’s Guide.