Abo
  • Services:

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

Artikel veröffentlicht am , Hanno Böck
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen.
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF)

"Unterstützung für verschiedene HTTP-Methoden im Web" lautet übersetzt der Titel eines wissenschaftlichen Papers, das 2014 auf der Plattform Arxiv veröffentlicht wurde. Darin haben die Autoren zahlreiche Webseiten mit OPTIONS-Requests gescannt und geprüft, welche HTTP-Methoden diese unterstützen. Ein OPTIONS-Request wird von Servern, die das unterstützen, mit einer Liste der unterstützen Methoden beantwortet.

Stellenmarkt
  1. mobilcom-debitel GmbH, Büdelsdorf (bei Kiel)
  2. Technische Universität Darmstadt, Darmstadt

Dabei erwähnen die Autoren auch, dass verschiedene Server ungültige Zeichen im Ausgabeheader enthalten, andere Server schickten sinnlose Ausgaben, die nach HTML-Fragmenten aussahen. Worum es sich dabei handelt, ist aus heutiger Sicht relativ eindeutig: Der Optionsbleed-Bug, eine Sicherheitslücke im Apache-Webserver, die der Autor dieses Textes kürzlich entdeckt hat. Unter bestimmten Umständen verschickt ein Server dabei zufällige Speicherfragmente.

Doch offenbar bemerkten damals weder die Autoren noch die Leser des Papers, dass sie hier deutliche Zeichen für eine Sicherheitslücke vor sich hatten. Auch war den Autoren wohl nicht bekannt, dass es sich um Apache-Webserver handelte.

Kurz nach Heartbleed veröffentlicht

Besonders bemerkenswert daran ist, dass dieses Paper ziemlich genau einen Monat nach der Veröffentlichung des Heartbleed-Bugs in OpenSSL veröffentlicht wurde. Zwar ist Heartbleed von den Auswirkungen her deutlich gravierender als Optionsbleed, allerdings sind beide Fehler von der Funktionsweise sehr ähnlich. In beiden Fällen werden aufgrund von Fehlern beim Speichermanagement zufällige Speicherbereiche an einen anfragenden Nutzer ausgegeben.

Heartbleed sorgte für eine enorme Welle an Aufmerksamkeit. Vermutlich nie zuvor gab es so viele Medienberichte und so viel Aufmerksamkeit für eine einzelne Sicherheitslücke in einer Software. Trotz allem führte das aber offenbar nicht dazu, dass andere Personen, die Belege für eine sehr ähnliche Lücke vor Augen hatten, dies erkannten.



Anzeige
Top-Angebote
  1. 139,99€
  2. 158,80€
  3. 89,99€
  4. 29,99€

mnementh 22. Sep 2017

Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel...


Folgen Sie uns
       


Leistungsschutzrecht und Uploadfilter - Golem.de Live

Nach der EU-Kommission und den Mitgliedstaaten sprach sich am Mittwoch in Brüssel auch der Rechtsausschuss des Europaparlaments für ein Recht aus, das die digitale Nutzung von Pressepublikation durch Informationsdienste zustimmungspflichtig macht. Ein Uploadfilter, der das Hochladen urheberrechtlich geschützter Inhalte verhindern soll, wurde ebenfalls auf den Weg gebracht. Doch was bedeutet diese Entscheidung am Ende für den Nutzer? Und wer verfolgt eigentlich welche Interessen in der Debatte?

Leistungsschutzrecht und Uploadfilter - Golem.de Live Video aufrufen
KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Blackberry Key2 im Test: Ordentliches Tastatur-Smartphone mit zu vielen Schwächen
Blackberry Key2 im Test
Ordentliches Tastatur-Smartphone mit zu vielen Schwächen

Zwei Hauptkameras, 32 Tasten und viele Probleme: Beim Blackberry Key2 ist vieles besser als beim Keyone, unfertige Software macht dem neuen Tastatur-Smartphone aber zu schaffen. Im Testbericht verraten wir, was uns gut und was uns gar nicht gefallen hat.
Ein Test von Tobias Czullay

  1. Blackberry Key2 im Hands On Smartphone bringt verbesserte Tastatur und eine Dual-Kamera
  2. Blackberry Motion im Test Langläufer ohne Glanz

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /