Abo
  • Services:
Anzeige

Sicherheitslücke im Apache (Update)

Buffer-Overflow erlaubt das Ausführen von beliebigem Code

Der weit verbreitete Web-Server Apache enthält eine Sicherheitslücke, die es unter bestimmten Umständen erlaubt, beliebigen Code auf einem verwundbaren Rechner auszuführen. Betroffen sind sowohl Apache 1.3.x als auch Apache 2.x auf allen Plattformen.

Anzeige

Durch einen Fehler in den Routinen, die für die Behandlung invalider Requests verantwortlich sind, wird ein Server von außen durch entsprechende Links angreifbar. So wird es Angreifern unter bestimmten Umständen möglich, beliebigen Programmcode mit den Privilegien des Apache-Prozesses auszuführen.

Dem Apache-Team liegen Berichte vor, nach denen die Windows-Version von Apache 1.3.24 dadurch "exploitable" ist. Zudem legen Windows und Netware dabei einen neuen Prozess und lesen die Konfiguration neu ein, statt einen Child-Prozess zu starten, was zu größeren Pausen führt als auf anderen Plattformen.

Auf 32-Bit-Unix-Plattformen in Verbindung mit Apache 1.3.x führt der Fehler zu einer "Segmentation Violation", der Kindprozess stirbt. Auf 64-Bit-Plattformen wird der Überlauf allerdings kontrolliert, wodurch diese Systeme möglicherweise verwundbar werden.

Bei der Apache-2.x-Version sei zwar durch diese Sicherheitslücke keine Ausführung von fremdem Programmcode möglich, doch bedeutet das Anlegen von neuen Threads eine erhebliche Last für den Server. Das CERT der Univerität Stuttgart warnt in diesem Zusammenhang vor möglichen Denial-of-Service-(DoS-)Attacken, die dieses Problem ausnutzen könnten.

Bislang steht die Veröffentlichung des offiziellen Patches noch aus, das Apache-Team arbeitet nach eigenen Angaben an einer neuen Version, die das Problem beheben soll. Ein Debian-Paket mit einem noch kaum getesteten Patch aus dem Apache-CVS, der das Problem beheben soll, solange mod_proxy nicht verwendet wird, stellt das CERT der Universität Stuttgart zur Verfügung. Der von der Firma ISS angebotene Patch hingegen löst das Problem nicht, so die Apache-Entwickler.

Mittlerweile steht für Apache 2.x ein neues Release 2.0.36 in einer Testversion zur Verfügung.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Netphen
  2. Gebr. Heller Maschinenfabrik GmbH, Nürtingen
  3. dSPACE GmbH, Paderborn
  4. über Baumann Unternehmensberatung AG, Düsseldorf


Anzeige
Hardware-Angebote
  1. ab 649,90€

Folgen Sie uns
       

  1. Microsoft

    Hungrige Dinos, schicke Konsolen und die Sache mit Age 4

  2. Hollywoodstudios

    Apple will Kinofilme kurz nach der Premiere streamen

  3. I.D. Buzz

    VW baut den Elektro-Bulli

  4. Animationstechnologie

    Remedy Games verwendet Motion Matching in P7

  5. Mass Effect

    Bioware erklärt Arbeit an Kampagne von Andromeda für beendet

  6. Kitkat-Werbespot

    Atari verklagt Nestlé wegen angeblichem Breakout-Imitat

  7. Smarter Lautsprecher

    Google Home erhält Bluetooth-Zuspielung und Spotify Free

  8. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  9. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  10. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips
  2. Celsius-Workstations Fujitsu bringt sichere Notebooks und kabellose Desktops

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

  1. I.D. Buzz vs. Streetscooter ist wie Golf vs. Logan

    Legendenkiller | 08:20

  2. Re: Viele Hersteller würden sich freuen,

    Lapje | 08:20

  3. Was ist jetzt genau Motion Matching?

    twothe | 08:19

  4. Re: 8-13 euro vs 30-50 euro?

    Noren | 08:19

  5. Re: Tja die Eigentümer von Atari wollen nur das...

    marcelpape | 08:12


  1. 08:19

  2. 07:50

  3. 07:34

  4. 07:05

  5. 13:33

  6. 13:01

  7. 12:32

  8. 11:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel