Abo
  • Services:

Byte-Ranges-Header

Weiteres Update gegen "Apache Killer"

Ein weiteres Update verbessert das Vorgehen gegen einen Angriff auf den Apache-Webserver über Byte-Ranges-Header. Das Update für den 2.0-Entwicklungszweig soll im September erscheinen.

Artikel veröffentlicht am ,
Apache 2.2.20 behebt eine schwere Sicherheitslücke.
Apache 2.2.20 behebt eine schwere Sicherheitslücke. (Bild: Apache-Projekt)

Das Update Apache 2.2.21 behebt weitere Fehler in der Behandlung von Byte-Range-Request. Der Fehler konnte dazu missbraucht werden, einen Apache Webserver komplett lahmzulegen. Die Apache-Entwickler führen die falsche Behandlung auf eine Lücke im Protokoll HTTP 1.1 zurück. Ein entsprechender Änderungsantrag liegt dem IETF bereits vor.

Stellenmarkt
  1. SWP Stadtwerke Pforzheim GmbH & Co. KG, Pforzheim
  2. über experteer GmbH, deutschlandweit (Home-Office möglich)

Zwar behob bereits Apache 2.2.20 den eigentlichen Fehler, allerdings nicht ganz wie von den Entwicklern gewünscht. Das aktuelle Update korrigiert eine Schwachstelle in einem Protokoll und führt die Funktion Maxranges ein. Darüber lässt sich die maximale Anzahl an Range-Request festlegen, die der Server an den Client zurückgibt. Standardmäßig ist der Wert auf 200 gesetzt. Darüber hinaus werden Fehler in den Modulen mod_proxy_ajp und mod_proxy_balancer behoben.

Außerdem verweisen die Entwickler darauf, dass das LimitRequestFieldSize-Workaround nicht ausreichend vor dem Fehler schützt. Es kann umgangen werden, indem der Angriff auf mehrere Header verteilt wird.

Der 2.0-Entwicklungszweig des Webservers ist nach wie vor angreifbar. Das Update 2.0.65 soll noch im September erscheinen. Bis dahin werden Workarounds in verschiedenen Modulen empfohlen. Die Apache-Versionen 1.3.x sind jedoch nicht von dem Fehler betroffen, sagen die Entwickler.

In dem Updatepaket befinden sich Apache Portable Runtime 1.4.5 und die APR Utility Library 1.3.12, die laut Apache-Entwickler ebenfalls eingespielt werden müssen, um die Lücke zu schließen.



Anzeige
Blu-ray-Angebote
  1. 34,99€

satriani 14. Sep 2011

Lass ihn doch bisschen klugscheißen, ich glaube der arme weiß nicht mal, dass es ausser...


Folgen Sie uns
       


Fazit zu Spider-Man (PS4)

Spider-Man ist trotz ein paar kleiner Schwächen ein gelungenes Spiel, dem wir mit viel Freude ins Netz gehen.

Fazit zu Spider-Man (PS4) Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
    Elektroroller-Verleih Coup
    Zum Laden in den Keller gehen

    Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
    Ein Bericht von Friedhelm Greis

    1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
    2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
    3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

      •  /