Abo
  • Services:
Anzeige
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen.
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF)

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen.
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF)

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

"Unterstützung für verschiedene HTTP-Methoden im Web" lautet übersetzt der Titel eines wissenschaftlichen Papers, das 2014 auf der Plattform Arxiv veröffentlicht wurde. Darin haben die Autoren zahlreiche Webseiten mit OPTIONS-Requests gescannt und geprüft, welche HTTP-Methoden diese unterstützen. Ein OPTIONS-Request wird von Servern, die das unterstützen, mit einer Liste der unterstützen Methoden beantwortet.

Anzeige

Dabei erwähnen die Autoren auch, dass verschiedene Server ungültige Zeichen im Ausgabeheader enthalten, andere Server schickten sinnlose Ausgaben, die nach HTML-Fragmenten aussahen. Worum es sich dabei handelt, ist aus heutiger Sicht relativ eindeutig: Der Optionsbleed-Bug, eine Sicherheitslücke im Apache-Webserver, die der Autor dieses Textes kürzlich entdeckt hat. Unter bestimmten Umständen verschickt ein Server dabei zufällige Speicherfragmente.

Doch offenbar bemerkten damals weder die Autoren noch die Leser des Papers, dass sie hier deutliche Zeichen für eine Sicherheitslücke vor sich hatten. Auch war den Autoren wohl nicht bekannt, dass es sich um Apache-Webserver handelte.

Kurz nach Heartbleed veröffentlicht

Besonders bemerkenswert daran ist, dass dieses Paper ziemlich genau einen Monat nach der Veröffentlichung des Heartbleed-Bugs in OpenSSL veröffentlicht wurde. Zwar ist Heartbleed von den Auswirkungen her deutlich gravierender als Optionsbleed, allerdings sind beide Fehler von der Funktionsweise sehr ähnlich. In beiden Fällen werden aufgrund von Fehlern beim Speichermanagement zufällige Speicherbereiche an einen anfragenden Nutzer ausgegeben.

Heartbleed sorgte für eine enorme Welle an Aufmerksamkeit. Vermutlich nie zuvor gab es so viele Medienberichte und so viel Aufmerksamkeit für eine einzelne Sicherheitslücke in einer Software. Trotz allem führte das aber offenbar nicht dazu, dass andere Personen, die Belege für eine sehr ähnliche Lücke vor Augen hatten, dies erkannten.


eye home zur Startseite
mnementh 22. Sep 2017

Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Bechtle Onsite Services GmbH, Augsburg
  3. SICK AG, Waldkirch
  4. Bosch Rexroth AG, Schwieberdingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Resident Evil: Vendetta 14,99€, John Wick: Kapitel 2 9,99€, Fight Club 8,29€ und...
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Bixby 2.0

    Samsung will Sprachassistenten auf viel mehr Geräte bringen

  2. FAA

    CNN-Drohne darf über Menschen fliegen

  3. Nintendo Switch

    Firmware 4.0 bietet Videoaufnahmen mit Einschränkungen

  4. UE Blast und Megablast

    Alexa-Lautsprecher sind wasserfest und haben einen Akku

  5. TPCast im Hands on

    Überzeugende drahtlose Virtuelle Realität

  6. Separate Cloud-Version

    Lightroom nur noch als Abo erhältlich

  7. 360 Round

    Samsungs 360-Grad-Kamera hat 17 Objektive

  8. X299E-ITX/ac

    Asrock quetscht Sockel 2066 auf Mini-ITX-Board

  9. Alternativer Antrieb

    Toyota zeigt Brennstoffzellenauto und Bus

  10. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

  1. Re: Ich als Hobbyfotograf..

    Asser | 11:22

  2. Re: Bye Bye Lightroom

    MysticaX | 11:22

  3. Re: Und ich kriege noch nicht einmal die...

    Pixel5 | 11:21

  4. Re: Mehr Firmwares als Spiele

    PineapplePizza | 11:20

  5. Re: Drahtloses laden und wasserdicht sind...

    mr.r | 11:18


  1. 10:40

  2. 10:23

  3. 10:09

  4. 09:01

  5. 08:00

  6. 07:52

  7. 07:33

  8. 07:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel