Pflege von Webserver Apache 2.0 eingestellt
Version 2.0.65 ist die letzte Aktualisierung des Apache HTTP Server 2.0. Wer ihn noch einsetzt, muss reagieren: Ein Sicherheitsproblem bleibt ungelöst.
Mit der kürzlich erfolgten Freigabe des Apache-Webservers 2.0.65 hat das Apache-Projekt die Wartung der Versionslinie 2.0 eingestellt. Anwendern wird nachdrücklich empfohlen, so schnell wie möglich auf aktuelle Ausführungen der Versionsreihen 2.2 oder 2.4 zu wechseln; Letztere debütierte im Februar 2012.
Die letzte Ausgabe des vor elf Jahren zur allgemeinen Verwendung freigegebenen Webservers schließt unter anderem sechs mit CVE-Eintrag versehene Sicherheitslücken – darunter ist auch der Fehler einer Log-Funktion, durch die Angreifer die Kontrolle über den Server übernehmen können. Wie die Entwickler des auch als "httpd" oder "Apache HTTP Server" bekannten Webservers betonen, sei es aber weiter möglich, mit einer geschickt erstellten Regel in einer .htaccess-Datei den gesamten Arbeitsspeicher zu füllen. In der 2.0er-Reihe wird dies Problem nicht mehr behoben; die parallel zu 2.0.65 freigegebene Version 2.2.25 enthält eine Änderung, die dies Risiko minimiert; auch diese Version behebt die erwähnte Sicherheitslücke in der Log-Funktion. (thl)