zurück zum Artikel

Die Apache Foundation hat die Version 2.0.50 des Webservers freigegeben, die zwei Sicherheitslücken stopft.

Die Apache Foundation hat die Version 2.0.50 des Webservers freigegeben, die zwei Sicherheitslücken stopft. Ein von Georgi Guninski entdeckter Fehler [1] trat bei der Verarbeitung von überlangen Headern auf, wenn diese mit einem TAB oder einem SPACE beginnen. Dadurch konnten Angreifer beliebigen Speicher belegen, laut Guninski wäre auf 64-Bit-Plattformen mit mehr als vier Gigabyte Speicher auch ein Heap Overflow möglich gewesen. Der zweite Fehler, ebenfalls von Guninski gefunden [2] steckte in mod_ssl. Die Funktion ssl_util_uuencode_binary() prüfte einen Puffer nicht ausreichend, sodass ein überlanges Subject-Feld (Distinguished Name, DN) in einem SSL-Zertifikat den Stack überschreiben konnte.

Siehe dazu auch: (pab)

• Ankündigung [3] der Apache Foundation (mit Download-Link)

URL dieses Artikels:
https://www.heise.de/-103933

Links in diesem Artikel:
[1] https://www.heise.de/news/Fehler-laesst-Apache-abstuerzen-103355.html
[2] https://www.heise.de/news/Pufferueberlauf-in-Apache-SSL-Modul-100241.html
[3] http://www.apache.org/dist/httpd/Announcement2.html.de

Copyright © 2004 Heise Medien