Bug in Apache-Webserver korrigiert
Neue Versionen des Webservers von Apache beheben die Sicherheitslücke, die zu einigen Diskussionen über das Vorgehen bei der Veröffentlichung von Lecks führte.
Den Bug im Webserver von Apache, der gestern auftauchte und zu einigen Diskussionen über das Vorgehen bei der Veröffentlichung von Sicherheitslücken führte, haben die Entwickler mit neuen Versionen des http-Daemons korrigiert. Die Versionen 1.3.26 und 2.0.39 korrigieren das Leck, das -- abhängig von Apache-Version und Betriebssystem -- teilweise Denial-of-Service-Attacken oder Attacken ermöglichte, bei denen der Angreifer Code mit den Rechten des http-Daemons auf dem Apache-System ausführen konnte.
Eine genaue Beschreibung der Sicherheitslücke veröffentlichte das CERT Coordination Center in einem Advisory, ein weiteres Advisory kam von der Apache Foundation selbst. Die beiden neuen Versionen des http-Daemons gibt es auf den Servern von Apache.
Das Leck in Apache brachte wieder Fahrt in eine Diskussion, die vor einiger Zeit von Microsoft ausgelöst worden war: Wann und wie sollen Sicherheitslücken veröffentlicht werden? Die erste Meldung über das Leck in Apache kam von Internet Security Systems -- nach Angaben von Apache-Entwicklern allerdings gab ISS die Information so schnell an die Öffentlichkeit, dass man bei der Apache Foundation nach dem ersten Eingang der Info gerade einmal zwei Stunden Zeit zur Reaktion gehabt hätte. ISS dagegen verteidigt die eigene Vorgehensweise damit, dass das Sicherheitsproblem bei der Bedeutung von Apache als Webserver -- immerhin mit 56,2 Prozent Marktanteil bislang unangefochten die Nummer 1 unter den Webservern -- einfach zu wichtig gewesen wäre, als dass man länger mit einer Information der Öffentlichkeit habe warten können. (jk)
