Byte-Ranges-Header

Weiteres Update gegen "Apache Killer"

Ein weiteres Update verbessert das Vorgehen gegen einen Angriff auf den Apache-Webserver über Byte-Ranges-Header. Das Update für den 2.0-Entwicklungszweig soll im September erscheinen.

Artikel veröffentlicht am ,
Apache 2.2.20 behebt eine schwere Sicherheitslücke.
Apache 2.2.20 behebt eine schwere Sicherheitslücke. (Bild: Apache-Projekt)

Das Update Apache 2.2.21 behebt weitere Fehler in der Behandlung von Byte-Range-Request. Der Fehler konnte dazu missbraucht werden, einen Apache Webserver komplett lahmzulegen. Die Apache-Entwickler führen die falsche Behandlung auf eine Lücke im Protokoll HTTP 1.1 zurück. Ein entsprechender Änderungsantrag liegt dem IETF bereits vor.

Stellenmarkt
  1. Digital Consultant (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. IT Manager / Digitalisierungsarchitekt (m/w/d)
    Siedlungswerk GmbH, Stuttgart
Detailsuche

Zwar behob bereits Apache 2.2.20 den eigentlichen Fehler, allerdings nicht ganz wie von den Entwicklern gewünscht. Das aktuelle Update korrigiert eine Schwachstelle in einem Protokoll und führt die Funktion Maxranges ein. Darüber lässt sich die maximale Anzahl an Range-Request festlegen, die der Server an den Client zurückgibt. Standardmäßig ist der Wert auf 200 gesetzt. Darüber hinaus werden Fehler in den Modulen mod_proxy_ajp und mod_proxy_balancer behoben.

Außerdem verweisen die Entwickler darauf, dass das LimitRequestFieldSize-Workaround nicht ausreichend vor dem Fehler schützt. Es kann umgangen werden, indem der Angriff auf mehrere Header verteilt wird.

Der 2.0-Entwicklungszweig des Webservers ist nach wie vor angreifbar. Das Update 2.0.65 soll noch im September erscheinen. Bis dahin werden Workarounds in verschiedenen Modulen empfohlen. Die Apache-Versionen 1.3.x sind jedoch nicht von dem Fehler betroffen, sagen die Entwickler.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

In dem Updatepaket befinden sich Apache Portable Runtime 1.4.5 und die APR Utility Library 1.3.12, die laut Apache-Entwickler ebenfalls eingespielt werden müssen, um die Lücke zu schließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /