Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Sicherheitslücke im Apache (Update)

Buffer-Overflow erlaubt das Ausführen von beliebigem Code. Der weit verbreitete Web-Server Apache enthält eine Sicherheitslücke, die es unter bestimmten Umständen erlaubt, beliebigen Code auf einem verwundbaren Rechner auszuführen. Betroffen sind sowohl Apache 1.3.x als auch Apache 2.x auf allen Plattformen.
/ Jens Ihlenfeld
Kommentare News folgen (öffnet im neuen Fenster)

Durch einen Fehler(öffnet im neuen Fenster) in den Routinen, die für die Behandlung invalider Requests verantwortlich sind, wird ein Server von außen durch entsprechende Links angreifbar. So wird es Angreifern unter bestimmten Umständen möglich, beliebigen Programmcode mit den Privilegien des Apache-Prozesses auszuführen.

Dem Apache-Team liegen Berichte vor, nach denen die Windows-Version von Apache 1.3.24 dadurch "exploitable" ist. Zudem legen Windows und Netware dabei einen neuen Prozess und lesen die Konfiguration neu ein, statt einen Child-Prozess zu starten, was zu größeren Pausen führt als auf anderen Plattformen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Project Coordinator (f/m/d) with Focus on Educational and Administrative AI Technologies Universität Potsdam, Potsdam,Homeoffice (öffnet im neuen Fenster)
KI-Architekt/in für die Digitalisierung der niedersächsischen Justiz (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
Logistics ERP Solutions Architect (SAP S/4HANA) (m/f/d) OSI International Holding GmbH, Gersthofen (öffnet im neuen Fenster)
IT-Softwareentwickler (m/w/d) Franz Ziel GmbH, Billerbeck (öffnet im neuen Fenster)
Administrator/in für den Betrieb von KI-Anwendungen in der Justiz (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
Partnermanager (m/w/d) Schwerpunkt Public Sector TRIOLOGY GmbH, Braunschweig (öffnet im neuen Fenster)
W2-Professur (m/w/d) Qualitätssicherung KI-gestützt (Schwerpunkt: Pharma) Hochschule Albstadt-Sigmaringen, Sigmaringen (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) für die Klinik-Information Klinikum Neumarkt Service GmbH, Neumarkt in der Oberpfalz (öffnet im neuen Fenster)

Auf 32-Bit-Unix-Plattformen in Verbindung mit Apache 1.3.x führt der Fehler zu einer "Segmentation Violation", der Kindprozess stirbt. Auf 64-Bit-Plattformen wird der Überlauf allerdings kontrolliert, wodurch diese Systeme möglicherweise verwundbar werden.

Bei der Apache-2.x-Version sei zwar durch diese Sicherheitslücke keine Ausführung von fremdem Programmcode möglich, doch bedeutet das Anlegen von neuen Threads eine erhebliche Last für den Server. Das CERT der Univerität Stuttgart warnt in diesem Zusammenhang vor möglichen Denial-of-Service-(DoS-)Attacken, die dieses Problem ausnutzen könnten.

Bislang steht die Veröffentlichung des offiziellen Patches noch aus, das Apache-Team arbeitet nach eigenen Angaben an einer neuen Version, die das Problem beheben soll. Ein Debian-Paket(öffnet im neuen Fenster) mit einem noch kaum getesteten Patch(öffnet im neuen Fenster) aus dem Apache-CVS, der das Problem beheben soll, solange mod_proxy nicht verwendet wird, stellt das CERT der Universität Stuttgart zur Verfügung. Der von der Firma ISS angebotene Patch hingegen löst das Problem nicht, so die Apache-Entwickler.

Mittlerweile steht für Apache 2.x ein neues Release 2.0.36 in einer Testversion zur Verfügung.

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSoftwareentwicklungSecuritySicherheitslückeServerApplikationen