Sicherheitslücke im Apache (Update)

Buffer-Overflow erlaubt das Ausführen von beliebigem Code

Der weit verbreitete Web-Server Apache enthält eine Sicherheitslücke, die es unter bestimmten Umständen erlaubt, beliebigen Code auf einem verwundbaren Rechner auszuführen. Betroffen sind sowohl Apache 1.3.x als auch Apache 2.x auf allen Plattformen.

Artikel veröffentlicht am ,

Durch einen Fehler in den Routinen, die für die Behandlung invalider Requests verantwortlich sind, wird ein Server von außen durch entsprechende Links angreifbar. So wird es Angreifern unter bestimmten Umständen möglich, beliebigen Programmcode mit den Privilegien des Apache-Prozesses auszuführen.

Stellenmarkt
  1. Junior Softwareentwickler (m/w/d) Java / Webshop/E-Commerce
    ifm electronic GmbH, Essen
  2. Geschäftsführer (m/w/d) - Software / SaaS-Lösung - Karriereschritt Gesamtverantwortung
    tetris Unternehmensberater GbR, Dortmund
Detailsuche

Dem Apache-Team liegen Berichte vor, nach denen die Windows-Version von Apache 1.3.24 dadurch "exploitable" ist. Zudem legen Windows und Netware dabei einen neuen Prozess und lesen die Konfiguration neu ein, statt einen Child-Prozess zu starten, was zu größeren Pausen führt als auf anderen Plattformen.

Auf 32-Bit-Unix-Plattformen in Verbindung mit Apache 1.3.x führt der Fehler zu einer "Segmentation Violation", der Kindprozess stirbt. Auf 64-Bit-Plattformen wird der Überlauf allerdings kontrolliert, wodurch diese Systeme möglicherweise verwundbar werden.

Bei der Apache-2.x-Version sei zwar durch diese Sicherheitslücke keine Ausführung von fremdem Programmcode möglich, doch bedeutet das Anlegen von neuen Threads eine erhebliche Last für den Server. Das CERT der Univerität Stuttgart warnt in diesem Zusammenhang vor möglichen Denial-of-Service-(DoS-)Attacken, die dieses Problem ausnutzen könnten.

Golem Akademie
  1. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Februar 2022, virtuell
Weitere IT-Trainings

Bislang steht die Veröffentlichung des offiziellen Patches noch aus, das Apache-Team arbeitet nach eigenen Angaben an einer neuen Version, die das Problem beheben soll. Ein Debian-Paket mit einem noch kaum getesteten Patch aus dem Apache-CVS, der das Problem beheben soll, solange mod_proxy nicht verwendet wird, stellt das CERT der Universität Stuttgart zur Verfügung. Der von der Firma ISS angebotene Patch hingegen löst das Problem nicht, so die Apache-Entwickler.

Mittlerweile steht für Apache 2.x ein neues Release 2.0.36 in einer Testversion zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /