Abo
  • Services:
Anzeige

Sicherheitslücke im Apache (Update)

Buffer-Overflow erlaubt das Ausführen von beliebigem Code

Der weit verbreitete Web-Server Apache enthält eine Sicherheitslücke, die es unter bestimmten Umständen erlaubt, beliebigen Code auf einem verwundbaren Rechner auszuführen. Betroffen sind sowohl Apache 1.3.x als auch Apache 2.x auf allen Plattformen.

Anzeige

Durch einen Fehler in den Routinen, die für die Behandlung invalider Requests verantwortlich sind, wird ein Server von außen durch entsprechende Links angreifbar. So wird es Angreifern unter bestimmten Umständen möglich, beliebigen Programmcode mit den Privilegien des Apache-Prozesses auszuführen.

Dem Apache-Team liegen Berichte vor, nach denen die Windows-Version von Apache 1.3.24 dadurch "exploitable" ist. Zudem legen Windows und Netware dabei einen neuen Prozess und lesen die Konfiguration neu ein, statt einen Child-Prozess zu starten, was zu größeren Pausen führt als auf anderen Plattformen.

Auf 32-Bit-Unix-Plattformen in Verbindung mit Apache 1.3.x führt der Fehler zu einer "Segmentation Violation", der Kindprozess stirbt. Auf 64-Bit-Plattformen wird der Überlauf allerdings kontrolliert, wodurch diese Systeme möglicherweise verwundbar werden.

Bei der Apache-2.x-Version sei zwar durch diese Sicherheitslücke keine Ausführung von fremdem Programmcode möglich, doch bedeutet das Anlegen von neuen Threads eine erhebliche Last für den Server. Das CERT der Univerität Stuttgart warnt in diesem Zusammenhang vor möglichen Denial-of-Service-(DoS-)Attacken, die dieses Problem ausnutzen könnten.

Bislang steht die Veröffentlichung des offiziellen Patches noch aus, das Apache-Team arbeitet nach eigenen Angaben an einer neuen Version, die das Problem beheben soll. Ein Debian-Paket mit einem noch kaum getesteten Patch aus dem Apache-CVS, der das Problem beheben soll, solange mod_proxy nicht verwendet wird, stellt das CERT der Universität Stuttgart zur Verfügung. Der von der Firma ISS angebotene Patch hingegen löst das Problem nicht, so die Apache-Entwickler.

Mittlerweile steht für Apache 2.x ein neues Release 2.0.36 in einer Testversion zur Verfügung.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Bechtle IT-Systemhaus GmbH, Düsseldorf, Krefeld
  2. Deloitte, Berlin, Düsseldorf, Frankfurt, Hamburg, München
  3. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg
  4. Fachhochschule Südwestfalen, Iserlohn


Anzeige
Spiele-Angebote
  1. (-73%) 10,99€
  2. (-20%) 35,99€

Folgen Sie uns
       

  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Unity weiter nutzen

    ve2000 | 04:56

  2. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 04:44

  3. Re: Unverschlüsselte Grundversorgung

    teenriot* | 04:41

  4. Re: The end.

    lottikarotti | 03:15

  5. Re: Wir kolonialisieren

    Bouncy | 03:11


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel