Sicherheitslücke im Apache-Webserver

Im weit verbreiteten Open-Source-Webserver Apache ist ein Fehler entdeckt worden, den Angreifer für ihre Zwecke missbrauchen können. Betroffen sind die Versionen 1.3 bis einschließlich 1.3.24 sowie Apache 2 bis einschließlich 2.0.36. Je nach Betriebssystem und Apache-Version wirkt sich der Fehler unterschiedlich aus: So lässt sich unter Windows und offensichtlich den meisten 32-Bit-Unix-Derivaten der Fehler im Unterprogramm zur Behandlung fehlerhafter Anfragen für eine Denial-of-Service-Attacke ausnutzen. Auf anderen Systemen, etwa bei Apache 1.3.x auf diversen 64-Bit-Unix-Derivaten und Windows, scheint es möglich, Code mit den Nutzerrechten des http-Daemons auf dem Rechner ausführen zu lassen, auf dem der Apache-Server installiert ist.

Die Apache Software Foundation arbeitet bereits an einer neuen Version, die den Fehler beheben soll und wie immer unter Apache.org veröffentlicht wird. Ein detailliertes Advisory zu dem Problem ist ebenfalls von der Apache Foundation verfügbar.

Das Leck in Apache -- immerhin nach den jüngsten Zahlen mit 56,2 Prozent Marktanteil weiterhin der am meisten genutzte Webserver im Internet -- löste allerdings eine heftige Diskussion aus, wie mit der Information über Sicherheitslücken umzugehen ist: Inzwischen gibt es offensichtlich auch bei Open-Source-Software Streit darum, wann und wie schnell die Meldungen über entdeckte Sicherheitslücken veröffentlicht werden sollten. Denn die erste Meldung über das Leck in Apache kam von Internet Security Systems -- nach Angaben von Apache-Entwicklern allerdings gab ISS die Information so schnell an die Öffentlichkeit, dass man bei der Apache Foundation nach dem ersten Eingang der Info gerade einmal zwei Stunden Zeit zur Reaktion gehabt hätte. Dabei habe man schon auf Grund von Hinweisen anderer Entwickler an einer Lösung des Problems gearbeitet. ISS dagegen verteidigt die eigene Vorgehensweise damit, dass das Sicherheitsproblem bei der Bedeutung von Apache als Web-Server einfach zu wichtig gewesen wäre, als dass man länger mit einer Information der Öffentlichkeit habe warten können.

Die Apache-Entwickler erklären nunmehr in ihrem Adivsory, dass sie durch das Vorgehen von ISS zu einer vorzeitigen Veröffentlichung des Hinweises gezwungen gewesen wären. Der Patch, den ISS bereitstelle, behebe die Verwundbarkeit im Apache-Webserver nicht; man selbst arbeite derzeit an einer neuen Version des http-Daemons, der das Problem behebe.

Um das Vorgehen bei der Veröffentlichung von Sicherheitslücken gibt es bereits seit einiger Zeit Auseinandersetzungen, etwa zwischen Microsoft und Sicherheitsexperten, die öffentliche News-Dienste wie bugtraq zu Sicherheitsproblemen betreiben. So kritisierte Microsoft den Zustand in der Sicherheitsbranche schon einmal als "Informations-Anarchie" und machte die Veröffentlichung von Sicherheitslücken für die angerichteten Schäden mitverantwortlich. Sicherheitsexperten dagegen argumentieren beispielsweise, mit der Politik des "Full Disclosure", dass der Einzelne erst mit den Details der Veröffentlichungen feststellen kann, ob sein System ebenfalls betroffen ist. Unstrittig ist aber auch bei ihnen, dass den Herstellern beziehungsweise Entwicklern Gelegenheit gegeben werden muss, auf die Sicherheitslücke zu reagieren, dass sie also zumindest speziell informiert werden müssen. Microsoft beispielsweise fordert jedoch in mit einzelnen Sicherheitsfirmen -- darunter pikanterweise auch ISS -- vereinbarten Richtlinien, detaillierte Informationen über entdeckte Software-Verwundbarkeiten erst 30 Tage, nachdem der Hersteller Patches bereitgestellt hat, zu publizieren. (adb)