Neue Apache-Versionen schließen Lücken
Die Updates für den verbreiteten Webserver beseitigen DoS-Lücken und die Möglichkeit, eventuell HTTP-Header vorheriger Verbindungen mitzulesen.
- Daniel Bachfeld
Die Apache-Foundation hat die Versionen 2.0.61 und 2.2.6 ihres HTTP-Servers veröffentlicht, in denen neben zahlreichen Bugs auch fünf sicherheitsrelevante Fehler beseitigt sind. So können Angreifer nun nicht mehr die Module mod_proxy und mod_cache mit bestimmen Anfragen zum Absturz bringen oder über eine Schwachstelle in mod_mem_cache die Header vorheriger Verbindungen ausspähen. Zudem ist eine Cross-Site-Scripting-Schwachstelle im Modul mod_status behoben. Darüberhinaus ist eine DoS-Lücke im Prefork-MPM-Modul geschlosssen. Der Hersteller empfiehlt allen Anwendern, auf die aktuelle Version zu wechseln.
Siehe dazu auch:
- Apache HTTP Server 2.2.6 Released, Ankündigung der Apache Foundation
- Apache HTTP Server 2.0.61 Released, Ankündigung der Apache Foundation
(dab)
