Byte-Ranges-Header

Weiteres Update gegen "Apache Killer"

Ein weiteres Update verbessert das Vorgehen gegen einen Angriff auf den Apache-Webserver über Byte-Ranges-Header. Das Update für den 2.0-Entwicklungszweig soll im September erscheinen.

Artikel veröffentlicht am ,
Apache 2.2.20 behebt eine schwere Sicherheitslücke.
Apache 2.2.20 behebt eine schwere Sicherheitslücke. (Bild: Apache-Projekt)

Das Update Apache 2.2.21 behebt weitere Fehler in der Behandlung von Byte-Range-Request. Der Fehler konnte dazu missbraucht werden, einen Apache Webserver komplett lahmzulegen. Die Apache-Entwickler führen die falsche Behandlung auf eine Lücke im Protokoll HTTP 1.1 zurück. Ein entsprechender Änderungsantrag liegt dem IETF bereits vor.

Stellenmarkt
  1. Softwareentwickler*in - Creative Innovation Lab
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  2. Testingenieur für Testautomatisierung an Prüfständen (m/w/d)
    Bertrandt Ingenieurbüro GmbH, Wolfsburg, Hamburg, Leipzig, Magdeburg
Detailsuche

Zwar behob bereits Apache 2.2.20 den eigentlichen Fehler, allerdings nicht ganz wie von den Entwicklern gewünscht. Das aktuelle Update korrigiert eine Schwachstelle in einem Protokoll und führt die Funktion Maxranges ein. Darüber lässt sich die maximale Anzahl an Range-Request festlegen, die der Server an den Client zurückgibt. Standardmäßig ist der Wert auf 200 gesetzt. Darüber hinaus werden Fehler in den Modulen mod_proxy_ajp und mod_proxy_balancer behoben.

Außerdem verweisen die Entwickler darauf, dass das LimitRequestFieldSize-Workaround nicht ausreichend vor dem Fehler schützt. Es kann umgangen werden, indem der Angriff auf mehrere Header verteilt wird.

Der 2.0-Entwicklungszweig des Webservers ist nach wie vor angreifbar. Das Update 2.0.65 soll noch im September erscheinen. Bis dahin werden Workarounds in verschiedenen Modulen empfohlen. Die Apache-Versionen 1.3.x sind jedoch nicht von dem Fehler betroffen, sagen die Entwickler.

Golem Karrierewelt
  1. IPv6 Grundlagen: virtueller Zwei-Tage-Workshop
    19./20.12.2022, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
Weitere IT-Trainings

In dem Updatepaket befinden sich Apache Portable Runtime 1.4.5 und die APR Utility Library 1.3.12, die laut Apache-Entwickler ebenfalls eingespielt werden müssen, um die Lücke zu schließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Twitter
Was bisher bei Elon Musks Twitter 2.0 geschah

Nach der Twitter-Übernahme durch Elon Musk ist klar: Das Netzwerk hat wesentlich weniger Mitarbeiter. Es ist aber noch viel mehr passiert.
Ein Bericht von Oliver Nickel

Twitter: Was bisher bei Elon Musks Twitter 2.0 geschah
Artikel
  1. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

  2. Glasfaser: Konkurrenz gegen Abschaltrecht des Kupfernetzes der Telekom
    Glasfaser
    Konkurrenz gegen Abschaltrecht des Kupfernetzes der Telekom

    Noch ist die Telekom weit davon entfernt, ihr Kupfernetz abschalten zu können. Doch erste Planungen laufen und die Konkurrenz stellt Forderungen.

  3. Sono Motors: Solarauto Sion steht vor dem Aus
    Sono Motors
    Solarauto Sion steht vor dem Aus

    Sono Motors hat nicht mehr genug Geld für den Aufbau der Serienproduktion des Solarautos Sion. Nun soll die Community finanziell helfen. Mal wieder.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Palit RTX 4080 1.369€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /