Sicherheitspatches: Varnish anfällig für DoS-Attacke
In verschiedenen Versionen von Varnish klafft eine Schwachstelle, über die Angreifer Server attackieren könnten.
Der Web-Beschleuniger Varnish ist verwundbar. Angreifer könnten eine Sicherheitslücke für DoS-Attacken ausnutzen, warnen die Entwickler. Varnish kommt auf vielen großen Webseiten wie etwa Facebook und Wikipedia zum Einsatz. Admins sollten prüfen, ob sie eine gefährdete Version einsetzen und Sicherheitsupdates installieren.
Wer eine Ausgabe bis inklusive 4.0.0 einsetzt, ist nicht bedroht. Betroffen sind die Ausgaben 4.0.1 bis 4.0.4, 4.1.0 bis 4.1.7, 5.0.0 und 5.1.0 bis 5.1.2. Die Entwickler haben die Schwachstelle in den Versionen 4.0.5, 4.1.8 und 5.1.3 geschlossen. Eine Absicherung ist zudem über einen VCL-Workaround möglich. Eine Anleitung dafür findet sich in der Sicherheitswarnung.
Mittels einer ungültigen Anfrage von einem Client könnten Angreifer gezielt den varnished worker process abschießen, sodass Inhalte im Cache verloren gehen. Daraus resultierend kann ein Webserver keine Inhalte mehr bereitstellen, erläutern die Entwickler. (des)