Original-URL des Artikels: https://www.golem.de/1108/86098.html    Veröffentlicht: 31.08.2011 12:20    Kurz-URL: https://glm.io/86098

0-Day-Exploit

Sicherheitslücke in Apache geschlossen

Die jüngst bekanntgewordene Sicherheitslücke im Apache-Web-Server ist geschlossen worden. Updates mit entsprechenden Bugfixes stehen zum Download bereit. Allerdings ist das Problem nicht ganz behoben, denn der Fehler betrifft auch das darunterliegende Protokoll.

Apache 2.2.20 schließt eine Sicherheitslücke, über die der freie Webserver zum Einfrieren gebracht werden konnte. Allerdings löst das Update nicht das Grundproblem, denn auch das Protokoll HTTP 1.1 bietet die entsprechende Angriffsmöglichkeit. Ein Vorschlag zur Änderung der Behandlung der Byte-Range-Requests liegt dem IETF bereits vor.

Einstweilen wurde Apache so angepasst, dass die Behandlung von Byte-Range-Requests weniger Speicher beansprucht. Wenn die Summe aller Ranges in einer Anfrage die der Ursprungsdatei übersteigt, dann wird stattdessen die Datei gesendet. Zusätzlich wurden Fehler in den Modulen mod_authnz_ldap2, mod_filter und mod_reqtimeout behoben.

In dem Updatepaket befinden sich Apache Portable Runtime 1.4.5 und die APR Utility Library 1.3.12, die laut Apache-Entwickler ebenfalls eingespielt werden müssen, um die Lücke zu schließen. In der Windows-Version muss zusätzlich noch die Bibliothek libapriconv auf Version 1.2.1 aktualisiert werden. Ob und wann weitere Versionen des Apache-Servers ein Bugfix erhalten, steht noch nicht fest. Laut Apache sind die Versionen 1.3 und 2.x betroffen.  (jt)


Verwandte Artikel:
0-Day-Exploit: "Apache Killer" friert Webserver ein   
(24.08.2011, https://glm.io/85965 )
Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen   
(20.09.2017, https://glm.io/130166 )
Datenschutz: BVG-Webseite verrät Besucher-IPs und Mailadressen   
(01.03.2018, https://glm.io/133054 )
Connect 2017: Microsoft setzt weiter auf Enterprise-Open-Source   
(15.11.2017, https://glm.io/131161 )
Apache-Lizenz: Apple beendet GPL-Lizenzierung von Unix-Druckdienst Cups   
(08.11.2017, https://glm.io/131044 )

© 1997–2019 Golem.de, https://www.golem.de/