Apache-Patch patcht nicht richtig

Der ReWrite-Patch vom Oktober erfasst nicht alle Angriffsszenarien, weshalb Angreifer unter Umständen nach wie vor auf interne Server zugreifen können.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)