Abo
  • Services:

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

Artikel veröffentlicht am , Hanno Böck
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen.
Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF)

"Unterstützung für verschiedene HTTP-Methoden im Web" lautet übersetzt der Titel eines wissenschaftlichen Papers, das 2014 auf der Plattform Arxiv veröffentlicht wurde. Darin haben die Autoren zahlreiche Webseiten mit OPTIONS-Requests gescannt und geprüft, welche HTTP-Methoden diese unterstützen. Ein OPTIONS-Request wird von Servern, die das unterstützen, mit einer Liste der unterstützen Methoden beantwortet.

Stellenmarkt
  1. DFL Digital Sports GmbH, Köln
  2. Controlware GmbH, Ingolstadt

Dabei erwähnen die Autoren auch, dass verschiedene Server ungültige Zeichen im Ausgabeheader enthalten, andere Server schickten sinnlose Ausgaben, die nach HTML-Fragmenten aussahen. Worum es sich dabei handelt, ist aus heutiger Sicht relativ eindeutig: Der Optionsbleed-Bug, eine Sicherheitslücke im Apache-Webserver, die der Autor dieses Textes kürzlich entdeckt hat. Unter bestimmten Umständen verschickt ein Server dabei zufällige Speicherfragmente.

Doch offenbar bemerkten damals weder die Autoren noch die Leser des Papers, dass sie hier deutliche Zeichen für eine Sicherheitslücke vor sich hatten. Auch war den Autoren wohl nicht bekannt, dass es sich um Apache-Webserver handelte.

Kurz nach Heartbleed veröffentlicht

Besonders bemerkenswert daran ist, dass dieses Paper ziemlich genau einen Monat nach der Veröffentlichung des Heartbleed-Bugs in OpenSSL veröffentlicht wurde. Zwar ist Heartbleed von den Auswirkungen her deutlich gravierender als Optionsbleed, allerdings sind beide Fehler von der Funktionsweise sehr ähnlich. In beiden Fällen werden aufgrund von Fehlern beim Speichermanagement zufällige Speicherbereiche an einen anfragenden Nutzer ausgegeben.

Heartbleed sorgte für eine enorme Welle an Aufmerksamkeit. Vermutlich nie zuvor gab es so viele Medienberichte und so viel Aufmerksamkeit für eine einzelne Sicherheitslücke in einer Software. Trotz allem führte das aber offenbar nicht dazu, dass andere Personen, die Belege für eine sehr ähnliche Lücke vor Augen hatten, dies erkannten.



Anzeige
Spiele-Angebote
  1. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  2. 33,49€
  3. 33,99€
  4. 54,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)

mnementh 22. Sep 2017

Hier gibt es eine Differenz zwischen der OSI und der FSF, wie die entsprechende Klausel...


Folgen Sie uns
       


Casio WSD-F30 - Hands on (Ifa 2018)

Die WSD-F30 von Casio ist eine Smartwatch, die sich besonders gut fürs Wandern eignen soll. Sie zeigt verschiedene Messwerte an - auch auf einem zweiten LC-Display.

Casio WSD-F30 - Hands on (Ifa 2018) Video aufrufen
Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

    •  /