#######################################################################

                             Luigi Auriemma

Applicazione: Abyss webserver
              http://www.aprelium.com
Versioni:     minori di 1.2
Piattaforme:  solo la versione Linux
Bug:          Bypassaggio dell'autenticazione per accedere alle
              directories protette da password su filesystems FAT32
              (ma raramente gli utenti usano Linux per far girare un
              webserver su una partizione FAT32)
Exploitation: remota via browser
Date:         08 Dec 2003
Author:       Luigi Auriemma
              e-mail: aluigi@autistici.org
              web:    aluigi.org


#######################################################################


1) Introduzione
2) Bug
3) The Code
4) Fix


#######################################################################

===============
1) Introduzione
===============


Abyss webserver e' un piccolo e buon webserver gratuito sviluppato per
Win32, Linux x86, MacOS e FreeBSD.


#######################################################################

======
2) Bug
======


Il bug e' un bypassaggio di protezione che avviene solo su Linux quando
una cartella protetta da password e' su un filesystem FAT32.
Probabilmente e' un po' inusuale che qualcuno usa un webserver per
Linux per condividere una directory FAT32 ma Abyss e' molto utile per
configurazioni veloci e per uso personale quindi forse non e' un caso
cosi' raro (... infatti ho trovato questo bug proprio perche'
condividevo una directory FAT32).

Praticamente se l'amministratore usa il webserver Abyss su Linux ed ha
una directory FAT32 protetta da password, l'attacker puo' bypassare
l'autorizzazione per accedervi semplicemente usando un punto in
esadecimale (%2e) alla fine dell'URL.

Gli sviluppatori hanno riportato che anche i caratteri spazio (%20) e
':' (%3a) causano lo stesso problema (ma sul mio sistema causano solo
un normale errore 404).


#######################################################################

===========
3) The Code
===========


http://linux_server/protected_FAT32_dir.
http://linux_server/protected_FAT32_dir./
http://linux_server/protected_FAT32_dir%2e


#######################################################################

======
4) Fix
======


Versione 1.2 rilasciata il 3 Dec 2003


#######################################################################