Sicherheitslücke im Apache (Update)

Durch einen Fehler in den Routinen, die für die Behandlung invalider Requests verantwortlich sind, wird ein Server von außen durch entsprechende Links angreifbar. So wird es Angreifern unter bestimmten Umständen möglich, beliebigen Programmcode mit den Privilegien des Apache-Prozesses auszuführen.

Dem Apache-Team liegen Berichte vor, nach denen die Windows-Version von Apache 1.3.24 dadurch "exploitable" ist. Zudem legen Windows und Netware dabei einen neuen Prozess und lesen die Konfiguration neu ein, statt einen Child-Prozess zu starten, was zu größeren Pausen führt als auf anderen Plattformen.

Auf 32-Bit-Unix-Plattformen in Verbindung mit Apache 1.3.x führt der Fehler zu einer "Segmentation Violation", der Kindprozess stirbt. Auf 64-Bit-Plattformen wird der Überlauf allerdings kontrolliert, wodurch diese Systeme möglicherweise verwundbar werden.

Bei der Apache-2.x-Version sei zwar durch diese Sicherheitslücke keine Ausführung von fremdem Programmcode möglich, doch bedeutet das Anlegen von neuen Threads eine erhebliche Last für den Server. Das CERT der Univerität Stuttgart warnt in diesem Zusammenhang vor möglichen Denial-of-Service-(DoS-)Attacken, die dieses Problem ausnutzen könnten.

Bislang steht die Veröffentlichung des offiziellen Patches noch aus, das Apache-Team arbeitet nach eigenen Angaben an einer neuen Version, die das Problem beheben soll. Ein Debian-Paket mit einem noch kaum getesteten Patch aus dem Apache-CVS, der das Problem beheben soll, solange mod_proxy nicht verwendet wird, stellt das CERT der Universität Stuttgart zur Verfügung. Der von der Firma ISS angebotene Patch hingegen löst das Problem nicht, so die Apache-Entwickler.

Mittlerweile steht für Apache 2.x ein neues Release 2.0.36 in einer Testversion zur Verfügung.