Apache 2.2.15 mit Sicherheitsupdates erschienen
Reparaturen betreffen SSL-/TLS-Protokoll, etliche Module mit Patches
Die aktualisierte Version 2.2.15 des Apache Webservers bringt Reparaturen mit. Vor allem haben sich die Entwickler des seit Herbst 2009 bekannten Fehlers im SSL-/TLS-Protokoll angenommen. Zusätzlich wurden zahlreiche Module repariert.
Das Apache-Team hat sich in der Version 2.2.15 den im Herbst 2009 bekanntgewordenen Fehler im SSL-/TLS-Protokolls vorgenommen und Reparaturen eingebaut. Für Versionen des HTTP-Servers, die mit der reparierten Version 0.98m von OpenSSL kompiliert wurden, haben die Entwickler zusätzlich die sogenannte SSLInsecureRenegotiation Direktive in das Modul mod_ssl integriert. Damit kann mit Apache wieder das unsichere SSL-/TLS-Renegotiation verwendet werden, wenn Clients das neuere Protokoll noch nicht beherrschen.
Gleichzeitig haben die Entwickler eine nach eigenem Bekunden partielle Reparatur der Sicherheitslücke integriert, die Neuaushandlungen von Verbindungen durch Clients verhindert. Genauer gesagt werden Verbindungen nicht aufrechterhalten, wenn sie gepufferte Daten enthalten. Allerdings bleibt in Apache-Versionen, die mit Versionen vor OpenSSL 0.9.8l kompiliert wurden, die Neuaushandlung per Verzeichnis/Standort weiterhin unsicher. Drei weitere Sicherheitsreparaturen erfuhren die Module mod_isapi und mod_proxy_ajp sowie der Server selbst, sie alle hatten allerdings nichts mit dem SSL-/TLS-Fehler zu tun.
Zahlreiche weitere Reparaturen betreffen Module des Webservers, unter anderem einen Fehler im Modul mod_proxy_ajp, das einen Verbindungsabbruch eines Clients besser abfängt, und im Modul mod_ssl, das einen potenziellen I/O-Hänger behebt. Eine komplette Liste aller Bugfixes findet sich im offiziellen Changelog. Der Quellcode der aktuellen Version liegt auf den Servern des Apache-Projekts zum Download bereit.
Kommentieren