Workaround verfügbar

Zwei Schwachstellen in Apache gemeldet

Zwei als kritisch eingestufte Sicherheitslücken im Apache HTTP-Server wurden im SVN-Repository ausgebessert. Betroffen ist Version 2.2.x.

Die im Apache HTTP-Server gefundenen Schwachstellen lassen sich für Enthüllung sensibler Daten und DoS-Angriffe ausnutzen. Durch ein speziell manipuliertes Cookie könnte sich der Server zum Absturz bringen lassen. Schuld ist ein Fehler bei der Behandlung von "%{cookiename}C". Diese Sicherheitslücke ist für die Versionen 2.2.17, 2.2.18, 2.219, 2.2.20 und 2.2.21 bestätigt.

Der zweite Fehler liegt in der Standard-Antwort für den Status-Code 400. Wenn kein eigenes Fehler-Dokument konfiguriert ist, könnten sich "httpOnly"-Cookies enthüllen lassen. Diese Lücke ist für die Versionen 2.2.0, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.8, 2.2.9, 2.2.10, 2.2.11, 2.2.12, 2.2.13, 2.2.14, 2.2.15, 2.2.16, 2.2.17, 2.2.18, 2.2.19, 2.2.20 und 2.2.21 bestätigt.

Direktes Update steht derzeit keines zur Verfügung. Im SVN-Repository sind die Probleme bereinigt: apache.org (jdo)