• IT-Karriere:
  • Services:

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

Artikel veröffentlicht am , Hanno Böck
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen.
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF)

"Unterstützung für verschiedene HTTP-Methoden im Web" lautet übersetzt der Titel eines wissenschaftlichen Papers, das 2014 auf der Plattform Arxiv veröffentlicht wurde. Darin haben die Autoren zahlreiche Webseiten mit OPTIONS-Requests gescannt und geprüft, welche HTTP-Methoden diese unterstützen. Ein OPTIONS-Request wird von Servern, die das unterstützen, mit einer Liste der unterstützen Methoden beantwortet.

Stellenmarkt
  1. Forschungszentrum Jülich GmbH, Erlangen
  2. ERGO Group AG, Düsseldorf

Dabei erwähnen die Autoren auch, dass verschiedene Server ungültige Zeichen im Ausgabeheader enthalten, andere Server schickten sinnlose Ausgaben, die nach HTML-Fragmenten aussahen. Worum es sich dabei handelt, ist aus heutiger Sicht relativ eindeutig: Der Optionsbleed-Bug, eine Sicherheitslücke im Apache-Webserver, die der Autor dieses Textes kürzlich entdeckt hat. Unter bestimmten Umständen verschickt ein Server dabei zufällige Speicherfragmente.

Doch offenbar bemerkten damals weder die Autoren noch die Leser des Papers, dass sie hier deutliche Zeichen für eine Sicherheitslücke vor sich hatten. Auch war den Autoren wohl nicht bekannt, dass es sich um Apache-Webserver handelte.

Kurz nach Heartbleed veröffentlicht

Besonders bemerkenswert daran ist, dass dieses Paper ziemlich genau einen Monat nach der Veröffentlichung des Heartbleed-Bugs in OpenSSL veröffentlicht wurde. Zwar ist Heartbleed von den Auswirkungen her deutlich gravierender als Optionsbleed, allerdings sind beide Fehler von der Funktionsweise sehr ähnlich. In beiden Fällen werden aufgrund von Fehlern beim Speichermanagement zufällige Speicherbereiche an einen anfragenden Nutzer ausgegeben.

Heartbleed sorgte für eine enorme Welle an Aufmerksamkeit. Vermutlich nie zuvor gab es so viele Medienberichte und so viel Aufmerksamkeit für eine einzelne Sicherheitslücke in einer Software. Trotz allem führte das aber offenbar nicht dazu, dass andere Personen, die Belege für eine sehr ähnliche Lücke vor Augen hatten, dies erkannten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  2. 499,90€
  3. 326,74€

mnementh 22. Sep 2017

Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel...


Folgen Sie uns
       


Audi RS E-Tron GT Probe gefahren

Audis E-Tron GT ist das bislang PS-stärkste RS-Modell auf dem Markt.

Audi RS E-Tron GT Probe gefahren Video aufrufen
Gemanagte Netzwerke: Was eine Quasi-Virtualisierung von WANs und LANs bringt
Gemanagte Netzwerke
Was eine Quasi-Virtualisierung von WANs und LANs bringt

Cloud Managed LAN, Managed WAN Optimization, SD-WAN oder SD-LAN versprechen mehr Durchsatz, mehr Ausfallsicherheit oder weniger Datenstau.
Von Boris Mayer


    Smarte Lautsprecher im Vergleichstest: Amazon hat den Besten
    Smarte Lautsprecher im Vergleichstest
    Amazon hat den Besten

    Echo 4, Nest Audio, Echo Dot 4 oder Homepod Mini? Bei smarten Lautsprechern für maximal 100 Euro ist die Größe entscheidend.
    Ein Test von Ingo Pakalski

    1. Smarter Lautsprecher Google zeigt Nest Audio für 100 Euro
    2. Harman Kardon Portabler Lautsprecher mit Google Assistant und Airplay 2
    3. Smarter Lautsprecher Google bestätigt offiziell neuen Nest-Lautsprecher

    No One Lives Forever: Ein Retrogamer stirbt nie
    No One Lives Forever
    Ein Retrogamer stirbt nie

    Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
    Von Benedikt Plass-Fleßenkämper

    1. Heimcomputer Retro Games plant Amiga-500-Nachbau
    2. Klassische Spielkonzepte Retro, brandneu
    3. Gaming-Handheld Analogue Pocket erscheint erst 2021

      •  /