Lücke in Apache-Webserver

Die Apache Software Foundation warnt vor einer Sicherheitslücke im Apache Webserver. Die Lücke lässt sich je nach Plattform und Serverversion für eine Denial-of-Service-Attacke oder zum Ausführen von Code nutzen. Ein wirkungsvoller Patch steht noch aus.

Betroffen sind laut Apache die Webserver bis Version 1.3.24 sowie die Versionen von 2.0 bis 2.0.36 (inklusive Developer-Edition). Apache hat in einem Security Advisory die Auswirkungen der Lücke für unterschiedliche Plattformen und Serverversionen beschrieben. Das Problem hängt mit der Abarbeitung von ungültigen Anfragen zusammen.

Mit den Serverversionen 1.3 ist laut Apache ein Buffer Overflow möglich, wenn der Server auf 64-Bit-Plattformen läuft. Unter 32-Bit-Unix-Systemen führt der Versuch, den Puffer überlaufen zu lassen, laut Apache zu einem Fehler. Bei Webservern der Version 2.0 kann die Lücke genutzt werden, um eine Denial-of-Service-Attacke (DoS) zu konstruieren.

Apache arbeitet nach eigenen Angaben derzeit an einer neuen Version des Servers, welche die Lücke schließen soll. Entdeckt hat das Leck ein Experte von Internet Security Systems (ISS). Auf der Webseite der Experten ist ebenfalls ein Advisory zur Lücke zu finden. Von ISS gibt es auch einen Patch. Der schließt laut Apache Software Foundation die Lücke aber nicht. Außerdem bedarf es zum Einbinden des ISS-Patches einer Neukompilation.

Über die Konfiguration eines Apache-Webservers informiert dieser Report. Weitere Themen und Tests rund um Linux und Unix finden Sie hier und im neuen Kompendium tecCHANNEL-Compact. (uba)