Sicherheitslöcher in alten Apache-Versionen aufgedeckt [Update]
Nachdem vergangene Woche ein neuer Release von Apache zu Verfügung gestellt wurde, werden nun Schwachstellen in den Vorgängerversionen bekannt gegeben.
Nachdem vergangene Woche ein neuer Release von Apache zu Verfügung gestellt wurde, werden nun Schwachstellen in den Vorgängerversionen bekannt gegeben. Sie wurde bereits im März entdeckt, jedoch zunächst nur der Apache Software Foundation mitgeteilt. Diese hatte ausreichend Gelegenheit, den Fehler zu beheben und eine neue Apache-Version 2.0.46 bereitzustellen. Schon vorher wurde über einen Fehler im Modul mod_dav berichtet, der nicht näher beschrieben wurde und in Version 2.0.45 eigentlich behoben sein sollte.
Ursache der Schwachstelle ist ein Buffer Overflow in der Apache-Portable-Runtime-Bibliothek, die Strukturen und Routinen zur einfachen Portierung auf beliebige Betriebssysteme zur Verfügung stellt. Übergibt man dort an eine Funktion einen zu langen String, so stürzt Apache ab. Beliebiger Code könnte prinzipiell auch eingeschleust und ausgeführt werden, ein Exploit existiert aber noch nicht.
Von dem Fehler betroffen sind die Module:
- mod_dav
- mod_rewrite
- mod_ssl
- mod_usertrack
- mod_alias
- mod_dir
- mod_imap
- mod_speling
- mod_proxy
Verwendet man diese Module, so sollte die Apache-Version 2.0.46 installiert werden. Apache 1.3.2x ist nicht betroffen.
Interessant ist die Zusammenarbeit, die zur Behebung des Sicherheitslochs führte. Bevor die Schwachstelle veröffentlicht wurde, haben die Sicherheitsexperten von iDefense die Apache Software Foundation informiert, um dann in Zusammenarbeit das Leck zu stopfen. An dieser Vorgehensweise scheiden sich die Geister: Einige sind der Meinung, eine Schwachstelle müsse sofort veröffentlicht werden, während andere die Meinung vertreten, dem Hersteller müsse Gelegenheit zum Nachbessern gegeben werden.
Microsoft steht auf dem Standpunkt, dass Schwachstellen überhaupt nicht veröffentlicht werden sollten. Allerdings lassen sich die Entdecker der Fehler selten darauf ein. Der vergangene Woche veröffentlichte kumulative Patch für den IIS beseitigt Fehler, über die Microsoft nach Angaben von NSFocus im November 2002 informiert wurde.
Siehe hierzu auch:
