Apache-Update schließt Lücken

Die jetzt veröffentlichte Version 2.4.3 des freien Webservers der Apache-Foundation behebt etliche Fehler und schließt zwei Sicherheitslücken. Sie befanden sich in den Proxy-Modulen mod_proxy_aip und mod_proxy_http sowie im Modul mod_negotiation.

Zu den beiden Bugs (CVE-2012-3502, CVE-2012-2687) gibt es nur wenige Informationen. Der erste tritt beim Schließen der Backend-Verbindung auf und kann "zu Problemen mit der Privatsphäre" führen. mod_negotiation enthielt eine XSS-Lücke (Cross Site Scripting), die es beliebigen Anwendern erlaubte, Dateien hochzuladen. Sie wurde bereits vor zwei Monaten geschlossen.

Beseitigt haben die Apache-Entwickler auch einen Fehler, der seit Erscheinen der Version 2.4 zu Schwierigkeiten mit SSL-Verbindungen unter Windows führte. Installationspakete stehen online bereit. (ck)