Apache schließt Lücke in Webserver
Die Apache Software Foundation hat mit neuen Versionen eine Sicherheitslücke im Apache-Webserver geschlossen.
Die Lücke ließ sich je nach Plattform und Serverversion zu einer Denial-of-Service-Attacke oder zum Ausführen von Codes nutzen.
Mit den Serverversionen 1.3.26 und 2.0.39 sollen diese Probleme der Vergangenheit angehören, teilen die Entwickler mit.
Betroffen waren die Webserver bis Version 1.3.24 sowie die Versionen von 2.0 bis 2.0.36 [inklusive Developer-Edition].
Download der neuen VersionenAuswirkungen der Lücke für unterschiedliche Plattformen
Apache hatte zuvor in einem Security-Advisory die Auswirkungen
der Lücke für unterschiedliche Plattformen und Serverversionen
beschrieben. Das Problem hing mit der Abarbeitung von ungültigen
Anfragen zusammen.
Security-AdvisoryBuffer Overflow
Mit den Serverversionen 1.3 war demnach ein Buffer Overflow möglich, wenn der Server auf 64-Bit-Plattformen läuft. Unter 32-Bit-Unix-Systemen führte der Versuch, den Puffer überlaufen zu lassen, laut Apache zu einem Fehler.
Bei Webservern der Version 2.0 konnte die Lücke genutzt werden, um eine Denial-of-Service-Attacke [DoS] zu konstruieren.
Apache wirft ISS vorschnelle Veröffentlichung des Bugs vor
Entdeckt hat das Leck ein Experte von Internet Security Systems
[ISS]. Bei Apache ist man auf ISS derzeit nicht gut zu sprechen. Der
Bug sei vorschnell veröffentlicht worden, lautet der Vorwurf. ISS
habe gerade einmal ein paar Stunden Vorlaufzeit gegeben, zu wenig,
um ein Gegenmittel zu finden, meint Apache.
ISS Advisory