zurück zum Artikel

Pflege von Webserver Apache 2.0 eingestellt

Thorsten Leemhuis

Version 2.0.65 ist die letzte Aktualisierung des Apache HTTP Server 2.0. Wer ihn noch einsetzt, muss reagieren: Ein Sicherheitsproblem bleibt ungelöst.

Mit der kürzlich erfolgten Freigabe [1] des Apache-Webservers [2] 2.0.65 hat das Apache-Projekt die Wartung der Versionslinie 2.0 eingestellt. Anwendern wird nachdrücklich empfohlen, so schnell wie möglich [3] auf aktuelle Ausführungen der Versionsreihen 2.2 oder 2.4 [4] zu wechseln; Letztere debütierte im Februar 2012 [5].

Die letzte Ausgabe des vor elf Jahren [6] zur allgemeinen Verwendung freigegebenen Webservers schließt unter anderem sechs mit CVE-Eintrag versehene Sicherheitslücken [7] – darunter ist auch der Fehler einer Log-Funktion, durch die Angreifer die Kontrolle über den Server übernehmen können [8]. Wie die Entwickler des auch als "httpd" oder "Apache HTTP Server" bekannten Webservers betonen, sei es aber weiter möglich, mit einer geschickt erstellten Regel in einer .htaccess-Datei den gesamten Arbeitsspeicher zu füllen. In der 2.0er-Reihe wird dies Problem nicht mehr behoben; die parallel zu 2.0.65 freigegebene Version 2.2.25 [9] enthält eine Änderung, die dies Risiko minimiert; auch diese Version behebt die erwähnte Sicherheitslücke in der Log-Funktion. (thl [10])

URL dieses Artikels:
https://www.heise.de/-1917101

Links in diesem Artikel:
[1] http://mail-archives.us.apache.org/mod_mbox/www-announce/201307.mbox/%3C20130710124922.609f35ce.wrowe@rowe-clan.net%3E
[2] http://httpd.apache.org/
[3] http://www.apache.org/dist/httpd/Announcement2.0.html
[4] http://httpd.apache.org/download.cgi
[5] https://www.heise.de/news/Apache-Webserver-2-4-ist-fertig-1438487.html
[6] https://www.heise.de/news/Apache-2-0-freigegeben-58830.html
[7] http://www.apache.org/dist/httpd/Announcement2.0.html
[8] https://www.heise.de/news/Apache-Server-durch-Log-Files-angreifbar-1873419.html
[9] http://mail-archives.us.apache.org/mod_mbox/www-announce/201307.mbox/%3C20130710125106.3cc4b9c6.wrowe%40rowe-clan.net%3E
[10] mailto:thl@ct.de

Copyright © 2013 Heise Medien