Fünf Lücken im Apache-Webserver geschlossen
In der neuesten Entwicklungsversion des populären Webservers wurden vier Denial-of-Service-Lücken gestopft und ein Fehler behoben, der es Angreifern unter bestimmten Umständen erlauben könnte, Schadcode auszuführen.
- Fabian A. Scherschel
Wie die Apache Software Foundation (ASF) bekannt gegeben hat, wurden fünf Sicherheitslücken im Apache-Webserver geschlossen. Zwei davon werden von der ASF als wichtig eingestuft, bei den anderen gilt das Risiko als moderat. Die Lücken wurden in der aktuellen Entwicklungsversion (2.4.10-dev) der Software geschlossen und sollen in Zukunft in ein reguläres Release einfließen.
Bei vier der geschlossenen Sicherheitslücken handelt es sich um Schwachstellen, die den Server zum Stillstand zu bringen können (Denial-of-Service, DoS). Die Entwickler haben aber auch einen Pufferüberlauf behoben, der es einem Angreifer aus der Ferne ermöglichen könnte, Schadcode auf dem Server auszuführen (CVE-2014-0226). Laut der ASF ist das nur unter ganz bestimmten Umständen möglich, weshalb das Risiko durch die Lücke als moderat eingestuft wurde. Unter anderem muss das mod_status-Modul des Servers aktiviert und die dadurch generierte Status-Webseite öffentlich zugänglich sein, was per Default nicht der Fall ist.
Viele Administratoren deaktivieren diese Funktion des Servers und nur eine kleine Anzahl an Webseiten dürften die Seite öffentlich machen. Die Sicherheitslücke bei mod_status wurde von HPs Zero Day Initiative (ZDI) bereits Ende Mai an die ASF gemeldet.
Die meisten der Lücken betreffen alle Versionen der Apache-2.4-Familie. Ob die gängigen Distributionen auf das nächste reguläre Release warten, oder die Patches von Hand einpflegen, hat sich momentan noch nicht herauskristallisiert. (fab)
