Webserver: Keine Pflege mehr für Apache 2.0

Version 2.0 des Apache-Webservers erhält keine weiteren Updates und auch keine Sicherheitspatches mehr. Anwender sollen sobald wie möglich auf Version 2.2 oder 2.4 aktualisieren.

Artikel veröffentlicht am ,
Künftig gibt es keine Updates mehr für Apache 2.0.
Künftig gibt es keine Updates mehr für Apache 2.0. (Bild: Apache Software Foundation)

Mit dem letzten Update 2.0.65 haben die Apache-Entwickler den Support für die 2.0er Reihe ihres Webservers abgeschlossen. Es wird keine Sicherheitsupdates für Apache 2.0 mehr geben, das vor elf Jahren erschienen ist. Die Entwickler raten dringend dazu, auf die aktuelleren Versionen 2.2 oder 2.4 umzusteigen.

Stellenmarkt
  1. Requirements Engineer als Business Analyst (w/m/d)
    EnBW Energie Baden-Württemberg AG, Biberach, Karlsruhe, Köln, Stuttgart
  2. IT-Spezialist (m/w/d)
    Dan Produkte GmbH, Siegen
Detailsuche

Der Patch selbst schließt noch sechs Sicherheitslücken in Apache 2.0, darunter einen, der es Angreifern erlaubt, wegen eines Integer Overflows über eine speziell präparierte .htaccess-Datei Berechtigungen zu erhöhen. Zwar lässt sich die Lücke nicht mehr ausnutzen, allerdings kann der Arbeitsspeicher immer noch über eine manipulierte Zugangsdatei aufgefüllt werden. Dieser Fehler wird in Apache 2.0 nicht mehr behoben, in Version 2.2 hingegen schon. Für diese Version ist das Update 2.2.25 ebenfalls veröffentlicht worden.

Reparaturen gegen DoS und Übernahmen

Des Weiteren wurde in Modul mod_rewrite ein Fehler behoben, der Escape-Sequenzen in Protokolldateien schreibt und es Angreifern dadurch ermöglicht, den Webserver zu übernehmen. Zusätzlich enthält das Update einen Fix in der Kommunikation zwischen Unter- und Elternprozessen, wonach ein nicht privilegierter Unterprozess einen Absturz des Elternprozesses verursachen kann. Ein weiterer Patch verhindert Denial-of-Service-Angriffe, indem es den Umgang mit Byte-Ranges verbessert. Ein anderer behebt Fehler bei Fehlermeldungen im Zusammenhang mit HttpOnly-Cookies.

Updates und aktuelle Versionen sind auf den Servern des Apache-Projekts als Download verfügbar. Eine ausführliche Liste und dazugehörige Beschreibungen aller Fehler haben die Entwickler ebenfalls zusammengetragen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Probefahrt mit EQS
Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
Ein Bericht von Friedhelm Greis

Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
Artikel
  1. Spiele-Notebooks: Lenovo schaltet H.264-Encoding ab
    Spiele-Notebooks
    Lenovo schaltet H.264-Encoding ab

    Mal eben eine Spieleszene mit dem Gaming-Laptop aufnehmen? Bei vielen Lenovo-Notebooks klappt das derzeit nicht, aber Besserung ist in Sicht.

  2. Loongson 3A5000: Chinesische Quadcore-CPU mit eigenem Befehlssatz
    Loongson 3A5000
    Chinesische Quadcore-CPU mit eigenem Befehlssatz

    50 Prozent schneller als der Vorgänger-Chip und dabei sparsamer: Der 3A5000 mit LoongArch-Technik stellt einen wichtigen Umbruch dar.

  3. Festplatte: Seagates 20-TByte-HDDs soll bald erscheinen
    Festplatte
    Seagates 20-TByte-HDDs soll bald erscheinen

    Für das zweite Halbjahr 2021 plant Seagate mehrere Festplatten mit 20 TByte Kapazität und unterschiedlichen Aufzeichnungstechniken wie SMR.


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • ASUS TUF VG279QM 280 Hz 306,22€ • Fractal Design Meshify C Mini 69,90€ • Acer Nitro XF243Y 165Hz OC ab 169€ • Samsung C24RG54FQR 125€ • EA-Promo bei Gamesplanet • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /