Update: Apache schließt Lücke in Webserver

Die Apache Software Foundation hat mit neuen Versionen eine Sicherheitslücke im Apache Webserver geschlossen. Die Lücke ließ sich je nach Plattform und Serverversion zu einer Denial-of-Service-Attacke oder zum Ausführen von Code nutzen.

Mit den Serverversionen 1.3.26 und 2.0.39 sollen diese Probleme der Vergangenheit angehören, teilen die Entwickler mit. Den Download finden Sie hier bei Apache. Betroffen waren die Webserver bis Version 1.3.24 sowie die Versionen von 2.0 bis 2.0.36 (inklusive Developer-Edition).

Apache hatte zuvor in einem Security Advisory die Auswirkungen der Lücke für unterschiedliche Plattformen und Serverversionen beschrieben. Das Problem hing mit der Abarbeitung von ungültigen Anfragen zusammen.

Mit den Serverversionen 1.3 war demnach ein Buffer Overflow möglich, wenn der Server auf 64-Bit-Plattformen läuft. Unter 32-Bit-Unix-Systemen führte der Versuch, den Puffer überlaufen zu lassen, laut Apache zu einem Fehler. Bei Webservern der Version 2.0 konnte die Lücke genutzt werden, um eine Denial-of-Service-Attacke (DoS) zu konstruieren.

Entdeckt hat das Leck ein Experte von Internet Security Systems (ISS). Bei Apache ist man auf ISS derzeit nicht gut zu sprechen. Der Bug sei vorschnell veröffentlicht worden, lautet der Vorwurf. ISS habe gerade einmal ein paar Stunden Vorlaufzeit gegeben, zu wenig, um ein Gegenmittel zu finden, meint Apache.

Über die Konfiguration eines Apache-Webservers informiert dieser Report. Weitere Themen und Tests rund um Linux und Unix finden Sie hier und im neuen Kompendium tecCHANNEL-Compact. (uba)