Abo
  • IT-Karriere:

Webserver: Gefährliche Lücke in Apache 2.x

Im Webserver Apache 2.x ist eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann - auch ohne Authentifizierung.

Artikel veröffentlicht am ,
Der Apache Webserver ist verwundbar.
Der Apache Webserver ist verwundbar. (Bild: Apache Software Foundation)

Der Webserver Apache ist von der Ferne aus angreifbar. Von der Sicherheitslücke betroffen sind laut der Zero Day Initiative sämtliche Versionen von Apache 2.x. Darüber lassen sich unter Umständen Anmeldeinformationen auslesen. Außerdem könnte die Lücke dazu genutzt werden, um Code auf einem verwundbaren Apache-Server auszuführen. Die Lücke lässt sich aus der Ferne und ohne Zugangsberechtigung ausnutzen.

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München
  2. Stadt Nürtingen, Nürtingen

Der Fehler ist im Modul mod_status. Beim Aktualisieren eines Status kann eine Wettlaufsituation (Race Condition) entstehen, die durch mehrfache Anfragen mit dem Handler server-status ausgelöst werden kann. Das Modul, das unter anderem Statistiken zu einem Webserver sammelt und anzeigt, ist allerdings nicht immer standardmäßig aktiviert. Außerdem lässt sich der externe Zugriff auf das Modul deaktivieren, falls es nicht abgeschaltet werden soll:

<Location /server-status>
   SetHandler server-status
   Order Deny,Allow
   Deny from all
   Allow from 127.0.0.1
</Location>

Der Fehler wurde dem Apache-Team bereits Ende Mai 2014 gemeldet. Inzwischen liegen für Apache 2.2 und 2.4 Patches bereit, die im Upstream-Quellcode bereits eingepflegt sind. Entsprechende Updates dürften in den nächsten Stunden in den Software-Repositories der diversen Distributionen bereitgestellt werden.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Y25f-10 144 Hz für 159€)
  2. (u. a. Anno 1800 - Sonderausgabe für 33€ und Fast & Furious 6 Steelbook für 4,99€)
  3. 249,99€ + 5€-Versand (USK 18) - Bestpreis!
  4. (aktuell u. a. Corsair T1 Race 2018 in diversen Farben für 229,90€ + Versand. Bestpreis!)

botribun 18. Jul 2014

http://www.heise.de/newsticker/meldung/Fuenf-Luecken-im-Apache-Webserver-geschlossen...

c4u 18. Jul 2014

ich wollte damit nur darauf hinweisen das die vorgeschlagene lösung im thema eigentlich...

Schnarchnase 18. Jul 2014

Und du glaubst, dass man so einem Tool vertrauen kann? Apache ist der Webserver der mit...

User_x 17. Jul 2014

ea gilt ja zu unterscheiden zwischen einbruch root... oder da der server eh nur...


Folgen Sie uns
       


Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019)

Von außen ist das Razer Blade Stealth wieder einmal unscheinbar. Das macht das Gerät für uns besonders, da darin potente Hardware steckt, etwa eine Geforce GTX 1650.

Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019) Video aufrufen
Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Fridays for Future Klimastreiks online und offline

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

    •  /