CGI-Skripte verstopfen Apache 1.3.28 den Speicher

Auf Bugzilla und der Apache-User-Mailingliste wird von einem Fehler in der neuen Apache-Version 1.3.28 berichet, bei dem im Speicher verbliebene Prozesse zu Speichermangel führen können und den Server zum Stillstand bringen. Werden CGI-Skripte vom Apache mittels suEXEC() aufgerufen, so kann er sie in der fehlerhaften Version anschließend nicht mehr terminieren. Die Prozesse verbleiben als so genannte Zombies im Speicher. Schuld sind aber nicht die CGI-Skripte, sondern der Apache, der SIGTERM an die falschen Prozesse sendet. Auf Bugzilla sind bereits Patches verfügbar, deren Wirksamkeit aber nicht auf allen Systemen bestätigt werden konnte.

Die suEXEC-Funktion ermöglicht es, den Webserver und CGI- oder SSI-Skripte mit unterschiedlichen Benutzer-IDs laufen zu lassen. Dies kann aus Sicherheitsgründen sinnvoll sein, um zum Beispiel Skripte verschiedener Benutzer in deren eigenen Kontexten laufen zu lassen. Internet-Präsenzen, die auf einem Server parallel laufen, können sich so nicht gegenseitig beeinflussen beziehungsweise gefährden. Allerdings kann durch die falsche Verwendung von suEXEC der Server kompromittiert werden, wenn Skripte zu viel Rechte besitzen. (dab)