IBM bessert kritische Schwachstellen in IBM http Server aus

Die Sicherheitslücken in IBM http Server lassen sich von außerhalb für DoS-Angriffe (Denial of Service) ausnutzen. Diese hängen mit kürzllich gemeldeten Lücken in Apache APR zusammen. Der Fehler liegt in der Funktion apr_fnmatch() beim Verarbeiten bestimmter Bitmuster. Es lässt sich eine Endlosschleife erzwingen und die CPU wird vollständig ausgelastet.

Die Sicherheitslücken sind für IBM http Server 6.1 und 7.1 bestätigt. Administratoren sollten APAR PM38826 einspielen. Alternativ löst ein Update auf Version 6.1.0.39 oder 7.0.0.19 das Problem: ibm.com (jdo)