Arbeit für Admins: Apache 2.4.10 stopft Sicherheitslücken
Für Administratoren von Webservern, die auf Apache 2.4.x laufen, heißt es updaten. Die Apache-Entwickler haben mit der neuesten Version der Software fünf Lücken geschlossen, eine davon erlaubt das Ausführen von Schadcode aus dem Netz.
- Fabian A. Scherschel
Mit Erscheinen der Version 2.4.10 des Apache-Webservers sind jetzt auch die Bugfixes für fünf kürzlich bekannt gewordene Sicherheitslücken in der Software allgemein verfügbar. Eine der bis jetzt nur in der Entwicklungsversion von Apache geschlossenen Lücken kann es Angreifern unter bestimmten Umständen erlauben, Schadcode auf dem Server auszuführen (CVE-2014-0226). Die anderen Lücken können ausgenutzt werden, um den Webserver zum Stillstand oder zum Absturz zu bringen.
Des weiteren haben die Apache-Entwickler eine ganze Reihe von kleineren Fehlern in ihrer Software behoben. Eine komplette Liste findet sich im Changelog für die Version 2.4.10 beim Apache-Projekt. Neue Funktionen gibt es auch, unter anderem unterstützt das Proxy-Modul nun Unix Domain Sockets und mod_rewrite erlaubt mehr Kontrolle über die Anwendung von Rewrite-Regeln.
Die gestopften Sicherheitslücken betreffen die meisten Versionen der 2.4.x-Familie des Webservers. Die ersten Linux-Distributionen haben damit begonnen, die Fixes auf ihre 2.4-Pakete und ältere Versionen des Servers zu portieren. Red Hat schätzt die Lücken als "wichtig" ein und stellt aktualisierte Pakete für Red Hat Enterprise Linux (RHEL) 5, 6 und 7 bereit und auch Fedora arbeitet an Updates. Die in Debian Stable verwendete Version von Apache (2.2.22) scheint nicht betroffen zu sein. Ubuntu hat bis jetzt nicht reagiert.
[Update: 24.07.2014 14:40]
Die Ubuntu-Entwickler haben nun Apache-Updates für die LTS-Versionen 10.04, 12.04 und 14.04 veröffentlicht. Nutzer dieser Ubuntu-Versionen erhalten das Update wie gewohnt über den Paketmanager der Distribution. (fab)
