Kritische Lücken in Apache 2.0.x

Zwei Schwachstellen im weit verbreiteten Webserver Apache ermöglichen Angreifern eine DoS-Attacke oder sogar Systemzugriff. Abhilfe schafft die neue Version 2.0.46.

Die erste Schwachstelle lässt sich durch "mod_dav" und möglicherweise andere Mechanismen ausnutzen. Ein erfolgreicher Angriff kann zu einer DoS-Attacke führen. Einem RedHat-Advisory zufolge ermöglicht die Lücke einem Angreifer auch, beliebigen Code mit den Rechten des Webservers auszuführen. Betroffen von dieser Lücke sind die Versionen 2.0.37 bis 2.0.45.

Ursache der zweiten Schwachstelle ist ein Fehler im grundlegenden Authentifizierungsmodul, dies betrifft die Versionen 2.0.40 bis 2.0.45 auf Unix-Plattformen. Auf Grund dieses Fehlers kann der Authentifizierungsmechanismus lahm gelegt werden, bis der Webserver neu gestartet wird. Voraussetzung für einen Angriff ist, dass "threaded MPMs" (Multi-Processing Modules) benutzt werden. Mit der neuen Version Apache 2.0.46 sollen beide Probleme behoben sein.

Mit dem kostenfreien tecCHANNEL-Service Security Newsletter können Sie sich zeitnah über aktuelle Sicherheitsprobleme informieren. Die Online-Ausgabe der gesammelten Sicherheitsmeldungen finden Sie hier. (uba)

tecCHANNEL Buch-Shop

Literatur zum Thema Linux

Bestell-Link

Titel von Pearson Education

Bestellung

PDF-Titel (50% billiger als Buch)

Downloads