Ubuntu schließt länger offene Lücke in Apache-Modul mod_python
Aufgrund einer Schwachstelle im Apache2-Modul mod_python kann ein Angreifer unter bestimmten Umständen an vertrauliche Daten auf dem Server gelangen.
Aufgrund einer Schwachstelle im Apache2-Modul mod_python kann ein Angreifer unter bestimmten Umständen an vertrauliche Daten auf dem Server gelangen. Der Fehler liegt im Output-Filter des Moduls, das beim Verarbeiten von zu vielen Daten (mehr als 16.384) auf freigegeben Speicher zugreift und diesen anzeigt.
Das Problem ist zwar bereits seit April 2004 bekannt, allerdings scheint die Tragweite nicht bis zu allen vorgedrungen zu sein. Ubuntu bedankt sich in einem aktuellen Fehlerbericht bei Jim Garrison vom Software Freedom Law Center dafür, den Bug als sicherheitsrelevant erkannt zu haben. Neue Pakete von Ubuntu beheben den Fehler nun auch.
Auch im Issue Tracking System der Distribution rPath taucht das Problem als neu auf, allerdings mit dem Verweis auf den alten Patch. Dort soll das Problem ab dem 15. März gelöst sein. Welche anderen Linux-Distributoren ebenfalls betroffen sind, ist unbekannt.
Zwar weist bereits ein CVE-Eintrag darauf hin, dass ein Sicherheitsproblem vermutet wurde, warum es dann fast drei Jahre braucht, um dies zu bestätigten, ist unklar. Auch ist nicht klar, warum der Patch, sicherheitsrelevant oder nicht, erst ab Version 3.1.4 den Sprung in die offizielle Version geschafft hat.
Siehe dazu auch:
- libapache2-mod-python vulnerability, Fehlerbericht von Ubuntu
- buffer leak in outputfilter, Fehlerbericht auf launchpad
(dab)
