• IT-Karriere:
  • Services:

Byte-Ranges-Header

Weiteres Update gegen "Apache Killer"

Ein weiteres Update verbessert das Vorgehen gegen einen Angriff auf den Apache-Webserver über Byte-Ranges-Header. Das Update für den 2.0-Entwicklungszweig soll im September erscheinen.

Artikel veröffentlicht am ,
Apache 2.2.20 behebt eine schwere Sicherheitslücke.
Apache 2.2.20 behebt eine schwere Sicherheitslücke. (Bild: Apache-Projekt)

Das Update Apache 2.2.21 behebt weitere Fehler in der Behandlung von Byte-Range-Request. Der Fehler konnte dazu missbraucht werden, einen Apache Webserver komplett lahmzulegen. Die Apache-Entwickler führen die falsche Behandlung auf eine Lücke im Protokoll HTTP 1.1 zurück. Ein entsprechender Änderungsantrag liegt dem IETF bereits vor.

Stellenmarkt
  1. über experteer GmbH, Düsseldorf
  2. über experteer GmbH, Karlsruhe

Zwar behob bereits Apache 2.2.20 den eigentlichen Fehler, allerdings nicht ganz wie von den Entwicklern gewünscht. Das aktuelle Update korrigiert eine Schwachstelle in einem Protokoll und führt die Funktion Maxranges ein. Darüber lässt sich die maximale Anzahl an Range-Request festlegen, die der Server an den Client zurückgibt. Standardmäßig ist der Wert auf 200 gesetzt. Darüber hinaus werden Fehler in den Modulen mod_proxy_ajp und mod_proxy_balancer behoben.

Außerdem verweisen die Entwickler darauf, dass das LimitRequestFieldSize-Workaround nicht ausreichend vor dem Fehler schützt. Es kann umgangen werden, indem der Angriff auf mehrere Header verteilt wird.

Der 2.0-Entwicklungszweig des Webservers ist nach wie vor angreifbar. Das Update 2.0.65 soll noch im September erscheinen. Bis dahin werden Workarounds in verschiedenen Modulen empfohlen. Die Apache-Versionen 1.3.x sind jedoch nicht von dem Fehler betroffen, sagen die Entwickler.

In dem Updatepaket befinden sich Apache Portable Runtime 1.4.5 und die APR Utility Library 1.3.12, die laut Apache-Entwickler ebenfalls eingespielt werden müssen, um die Lücke zu schließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. WD Black SN750 1TB PCIe-SSD für 110,92€, Crucial MX500 1TB für 80,61€, LG OLED55CX9LA...
  2. 341,17€
  3. (u. a. Halloween Limited Edition für 38,98€, Full Metal Jacket für 22,89€, Der Unsichtbare...
  4. 299€ (Bestpreis!)

satriani 14. Sep 2011

Lass ihn doch bisschen klugscheißen, ich glaube der arme weiß nicht mal, dass es ausser...


Folgen Sie uns
       


Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor

Golem.de hat preiswerte Geräte von drei Herstellern getestet. Es treten an: Acer, Medion und Trekstor. Die Bedingung: Der Kaufpreis soll unter 400 Euro liegen.

Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor Video aufrufen
Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Star Trek Discovery: Harte Landung im 32. Jahrhundert
Star Trek Discovery
Harte Landung im 32. Jahrhundert

Die dritte Staffel von Star Trek: Discovery nutzt das offene Ende der Vorgängerstaffel. Sie verspricht Spannung - etwas weniger Pathos dürfte es aber sein.
Eine Rezension von Tobias Költzsch

  1. Star Trek Prodigy Captain Janeway spielt in Star-Trek-Cartoonserie mit
  2. Paramount Zukunft für Star-Trek-Filme ist ungewiss
  3. Streaming Star Trek Discovery kommt am 15. Oktober zurück

    •  /