Webserver: Gefährliche Lücke in Apache 2.x
Der Webserver Apache ist von der Ferne aus angreifbar. Von der Sicherheitslücke betroffen sind laut der Zero Day Initiative(öffnet im neuen Fenster) sämtliche Versionen von Apache 2.x. Darüber lassen sich unter Umständen Anmeldeinformationen auslesen. Außerdem könnte die Lücke(öffnet im neuen Fenster) dazu genutzt werden, um Code auf einem verwundbaren Apache-Server auszuführen. Die Lücke lässt sich aus der Ferne und ohne Zugangsberechtigung ausnutzen.
Der Fehler ist im Modul mod_status . Beim Aktualisieren eines Status kann eine Wettlaufsituation (Race Condition) entstehen, die durch mehrfache Anfragen mit dem Handler server-status ausgelöst werden kann. Das Modul, das unter anderem Statistiken zu einem Webserver sammelt und anzeigt, ist allerdings nicht immer standardmäßig aktiviert. Außerdem lässt sich der externe Zugriff auf das Modul deaktivieren, falls es nicht abgeschaltet werden soll:
ᐸLocation /server-statusᐳ
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
ᐸ/Locationᐳ
Der Fehler wurde dem Apache-Team bereits Ende Mai 2014 gemeldet. Inzwischen liegen für Apache 2.2 und 2.4 Patches bereit(öffnet im neuen Fenster) , die im Upstream-Quellcode bereits eingepflegt sind. Entsprechende Updates dürften in den nächsten Stunden in den Software-Repositories der diversen Distributionen bereitgestellt werden.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.