Neue Versionen des Webservers Apache schließen Sicherheitslücke
Mit neuen Versionen der Webserver-Software schließen die Apache-Entwickler eine Sicherheitslücke.
Die Apache-Entwickler haben neue Versionen ihrer Webserver-Software herausgegeben, die eine Sicherheitslücke schließen. Angreifer könnten den Fehler unter Umständen zum Einschmuggeln von beliebigen Code ausnutzen.
Die Schwachstelle findet sich im mod_rewrite-Modul und tritt durch Regeln zu Tage, durch die Angreifer den Anfang von URLs beeinflussen könnten (etwa wenn die umzuschreibende URL mit $1 beginnt) und die Flags Forbidden (F), Gone (G) oder NoEscape (NE) nicht gesetzt sind. Durch einen so genannten Off-by-one-Fehler kann ein 1-Byte-Pufferüberlauf auftreten, über den eingeschleuster Code zur Ausführung kommen könnte.
Betroffen sind alle Entwicklungszweige von Apache. Die neuen Versionen 1.3.37, 2.0.59 und 2.2.3 beheben den Fehler. Selbstkompilierer sollten die neue Version rasch bauen und installieren. Die Linux-Distributoren sollten in Kürze aktualisierte Pakete bereitstellen.
Siehe dazu auch: (dmk)
- Releasenotes mit Fehlerbeschreibung der Apache-Entwickler
- Download der Apache-Quellen
