Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Webserver: Gefährliche Lücke in Apache 2.x

Im Webserver Apache 2.x ist eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann - auch ohne Authentifizierung.

Artikel veröffentlicht am 17. Juli 2014, 16:39 Uhr, Jörg Thoma

Der Apache Webserver ist verwundbar. (Bild: Apache Software Foundation)

Der Webserver Apache ist von der Ferne aus angreifbar. Von der Sicherheitslücke betroffen sind laut der Zero Day Initiative sämtliche Versionen von Apache 2.x. Darüber lassen sich unter Umständen Anmeldeinformationen auslesen. Außerdem könnte die Lücke dazu genutzt werden, um Code auf einem verwundbaren Apache-Server auszuführen. Die Lücke lässt sich aus der Ferne und ohne Zugangsberechtigung ausnutzen.

Der Fehler ist im Modul mod_status. Beim Aktualisieren eines Status kann eine Wettlaufsituation (Race Condition) entstehen, die durch mehrfache Anfragen mit dem Handler server-status ausgelöst werden kann. Das Modul, das unter anderem Statistiken zu einem Webserver sammelt und anzeigt, ist allerdings nicht immer standardmäßig aktiviert. Außerdem lässt sich der externe Zugriff auf das Modul deaktivieren, falls es nicht abgeschaltet werden soll:

<Location /server-status>
   SetHandler server-status
   Order Deny,Allow
   Deny from all
   Allow from 127.0.0.1
</Location>

Der Fehler wurde dem Apache-Team bereits Ende Mai 2014 gemeldet. Inzwischen liegen für Apache 2.2 und 2.4 Patches bereit, die im Upstream-Quellcode bereits eingepflegt sind. Entsprechende Updates dürften in den nächsten Stunden in den Software-Repositories der diversen Distributionen bereitgestellt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Themenseiten:

Kommentarübersicht

Re: Panikmachende, irreführende Überschrift

botribun 18. Jul 2014

http://www.heise.de/newsticker/meldung/Fuenf-Luecken-im-Apache-Webserver-geschlossen...

Re: allow from 127.0.0.1 -> DENY!

c4u 18. Jul 2014

ich wollte damit nur darauf hinweisen das die vorgeschlagene lösung im thema eigentlich...

Re: Ach...

Schnarchnase 18. Jul 2014

Und du glaubst, dass man so einem Tool vertrauen kann? Apache ist der Webserver der mit...

Re: Wie nutzt man die Lücke aus?

User_x 17. Jul 2014

ea gilt ja zu unterscheiden zwischen einbruch root... oder da der server eh nur...

Artikel

NTC Vulkan

Einblick in die Welt von Russlands Cyberkriegsführung

Bisher streng geheime Dokumente haben das Ausmaß der Cyberkriegsfähigkeiten Russlands aufgedeckt.
Konkurrenz zu ChatGPT

SAP investiert 100 Millionen Euro in KI aus Deutschland

Berichten zufolge will SAP in der nächsten Finanzierungsrunde bei Aleph Alpha einsteigen. Deren KI Luminous soll mit ChatGPT mithalten können.
Sammanlänkad

Ikea bringt wandlungsfähige Solarlampe

Sammanlänkad heißt Ikeas limitierte Solarlampe, die sich als Schreibtisch-, Decken- und Taschenlampe sowie als Akkupack verwenden lässt.

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

• Daily Deals • Nur bis 12 Uhr: 20GB Allnet-Flat 9,99€/M. • Crucial SSD 1TB/2TB bis -43% • RAM im Preisrutsch • RTX 4090 erstmals unter 1.700€ • MindStar: iPhone 14 Pro Max 1TB 1.599€ • SSDs & Festplatten bis -60% • AOC 34" UWQHD 279€ • 3 Spiele kaufen, 2 zahlen [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#