Apache-Update schließt Lücken
Die jetzt veröffentlichte Version 2.4.3 des freien Apache-Webservers korrigiert etliche Fehler, darunter zwei potenzielle Angriffsmöglichkeiten in Modulen. Behoben ist auch ein Bug, der unter Windows SSL-Verbindungen verhinderte.
- Christian Kirsch
Die jetzt veröffentlichte Version 2.4.3 des freien Webservers der Apache-Foundation behebt etliche Fehler und schließt zwei Sicherheitslücken. Sie befanden sich in den Proxy-Modulen mod_proxy_aip
und mod_proxy_http
sowie im Modul mod_negotiation
.
Zu den beiden Bugs (CVE-2012-3502, CVE-2012-2687) gibt es nur wenige Informationen. Der erste tritt beim Schließen der Backend-Verbindung auf und kann "zu Problemen mit der Privatsphäre" führen. mod_negotiation
enthielt eine XSS-Lücke (Cross Site Scripting), die es beliebigen Anwendern erlaubte, Dateien hochzuladen. Sie wurde bereits vor zwei Monaten geschlossen.
Beseitigt haben die Apache-Entwickler auch einen Fehler, der seit Erscheinen der Version 2.4 zu Schwierigkeiten mit SSL-Verbindungen unter Windows führte. Installationspakete stehen online bereit. (ck)