Abo
  • Services:
Anzeige
Apache 2.2.20 behebt eine schwere Sicherheitslücke.
Apache 2.2.20 behebt eine schwere Sicherheitslücke. (Bild: Apache-Projekt)

Byte-Ranges-Header

Weiteres Update gegen "Apache Killer"

Apache 2.2.20 behebt eine schwere Sicherheitslücke.
Apache 2.2.20 behebt eine schwere Sicherheitslücke. (Bild: Apache-Projekt)

Ein weiteres Update verbessert das Vorgehen gegen einen Angriff auf den Apache-Webserver über Byte-Ranges-Header. Das Update für den 2.0-Entwicklungszweig soll im September erscheinen.

Das Update Apache 2.2.21 behebt weitere Fehler in der Behandlung von Byte-Range-Request. Der Fehler konnte dazu missbraucht werden, einen Apache Webserver komplett lahmzulegen. Die Apache-Entwickler führen die falsche Behandlung auf eine Lücke im Protokoll HTTP 1.1 zurück. Ein entsprechender Änderungsantrag liegt dem IETF bereits vor.

Anzeige

Zwar behob bereits Apache 2.2.20 den eigentlichen Fehler, allerdings nicht ganz wie von den Entwicklern gewünscht. Das aktuelle Update korrigiert eine Schwachstelle in einem Protokoll und führt die Funktion Maxranges ein. Darüber lässt sich die maximale Anzahl an Range-Request festlegen, die der Server an den Client zurückgibt. Standardmäßig ist der Wert auf 200 gesetzt. Darüber hinaus werden Fehler in den Modulen mod_proxy_ajp und mod_proxy_balancer behoben.

Außerdem verweisen die Entwickler darauf, dass das LimitRequestFieldSize-Workaround nicht ausreichend vor dem Fehler schützt. Es kann umgangen werden, indem der Angriff auf mehrere Header verteilt wird.

Der 2.0-Entwicklungszweig des Webservers ist nach wie vor angreifbar. Das Update 2.0.65 soll noch im September erscheinen. Bis dahin werden Workarounds in verschiedenen Modulen empfohlen. Die Apache-Versionen 1.3.x sind jedoch nicht von dem Fehler betroffen, sagen die Entwickler.

In dem Updatepaket befinden sich Apache Portable Runtime 1.4.5 und die APR Utility Library 1.3.12, die laut Apache-Entwickler ebenfalls eingespielt werden müssen, um die Lücke zu schließen.


eye home zur Startseite
satriani 14. Sep 2011

Lass ihn doch bisschen klugscheißen, ich glaube der arme weiß nicht mal, dass es ausser...



Anzeige

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. escrypt GmbH Embedded Security, Bochum
  3. über Duerenhoff GmbH, Augsburg
  4. TANNER AG, Erlangen


Anzeige
Hardware-Angebote
  1. 1.499,00€

Folgen Sie uns
       


  1. LTE

    Taiwan schaltet nach 2G- auch 3G-Netz ab

  2. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  3. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  4. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  5. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  6. Open Source

    Microsoft liefert Curl in Windows 10 aus

  7. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  8. Tencent

    Lego will mit Tencent in China digital expandieren

  9. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  10. Matthias Maurer

    Ein Astronaut taucht unter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Mortalität darf deutlich im Prozentbereich sein.

    plutoniumsulfat | 04:08

  2. Viele Worte - Keine Fakten...

    ve2000 | 03:23

  3. Re: Weg mit den Deutschen SIMs - so mache ich es...

    backdoor.trojan | 03:20

  4. Re: Sinnlos

    HorkheimerAnders | 03:12

  5. Re: Kaspersky... als könnte man denen vertrauen

    HorkheimerAnders | 03:09


  1. 19:16

  2. 17:48

  3. 17:00

  4. 16:25

  5. 15:34

  6. 15:05

  7. 14:03

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel