Content-Length: 252930 | pFad | https://www.golem.de/news/webserver-schwere-luecke-in-apache-2-x-1407-107951.html

Webserver: Gefährliche Lücke in Apache 2.x - Golem.de

Webserver: Gefährliche Lücke in Apache 2.x

Im Webserver Apache 2.x ist eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann - auch ohne Authentifizierung.

Artikel veröffentlicht am ,
Der Apache Webserver ist verwundbar.
Der Apache Webserver ist verwundbar. (Bild: Apache Software Foundation)

Der Webserver Apache ist von der Ferne aus angreifbar. Von der Sicherheitslücke betroffen sind laut der Zero Day Initiative sämtliche Versionen von Apache 2.x. Darüber lassen sich unter Umständen Anmeldeinformationen auslesen. Außerdem könnte die Lücke dazu genutzt werden, um Code auf einem verwundbaren Apache-Server auszuführen. Die Lücke lässt sich aus der Ferne und ohne Zugangsberechtigung ausnutzen.

Der Fehler ist im Modul mod_status. Beim Aktualisieren eines Status kann eine Wettlaufsituation (Race Condition) entstehen, die durch mehrfache Anfragen mit dem Handler server-status ausgelöst werden kann. Das Modul, das unter anderem Statistiken zu einem Webserver sammelt und anzeigt, ist allerdings nicht immer standardmäßig aktiviert. Außerdem lässt sich der externe Zugriff auf das Modul deaktivieren, falls es nicht abgeschaltet werden soll:

<Location /server-status>
   SetHandler server-status
   Order Deny,Allow
   Deny from all
   Allow from 127.0.0.1
</Location>

Der Fehler wurde dem Apache-Team bereits Ende Mai 2014 gemeldet. Inzwischen liegen für Apache 2.2 und 2.4 Patches bereit, die im Upstream-Quellcode bereits eingepflegt sind. Entsprechende Updates dürften in den nächsten Stunden in den Software-Repositories der diversen Distributionen bereitgestellt werden.

Verwandte Artikel
artikel-bild
Datenschutz
BVG-Webseite verrät Besucher-IPs und Mailadressen
artikel-bild
Google
SPDY offiziell in Apache-Webserver integriert
artikel-bild
Futuremark
Servermark testet Media-Transcode- und VM-Server
Meistgelesen
artikel-bild
Rückzug aus der Cloud
Ernüchterung nach der Euphorie
artikel-bild
Gesunkenes Vertrauen der Kunden
Cyberport hat offenbar auch Probleme
artikel-bild
Streit um Kündigungsbutton
Sky verliert ein drittes Mal vor Gericht
Kommentarübersicht
Re: Panikmachende, irreführende Überschrift
botribun 18. Jul 2014

http://www.heise.de/newsticker/meldung/Fuenf-Luecken-im-Apache-Webserver-geschlossen...

Re: allow from 127.0.0.1 -> DENY!
c4u 18. Jul 2014

ich wollte damit nur darauf hinweisen das die vorgeschlagene lösung im thema eigentlich...

Re: Ach...
Schnarchnase 18. Jul 2014

Und du glaubst, dass man so einem Tool vertrauen kann? Apache ist der Webserver der mit...

Re: Wie nutzt man die Lücke aus?
User_x 17. Jul 2014

ea gilt ja zu unterscheiden zwischen einbruch root... oder da der server eh nur...

Aktuell auf der Startseite von Golem.de
Rückzug aus der Cloud
Ernüchterung nach der Euphorie

So manche Firma ändert derzeit ihre Cloudstrategie, nicht nur wegen Trumpovs neuer Präsidentschaft. Denn Gründe für den Ausstieg aus der Cloud gibt es viele.
Eine Analyse von Fabian Deitelhoff

Rückzug aus der Cloud: Ernüchterung nach der Euphorie
Artikel
  1. Gesunkenes Vertrauen der Kunden: Cyberport hat offenbar auch Probleme
    Gesunkenes Vertrauen der Kunden
    Cyberport hat offenbar auch Probleme

    Waren kommen nicht an: Kunden berichten von schlechten Erfahrungen mit Cyberport. Das hat wohl auch einen Grund: Geld sparen.

  2. Streit um Kündigungsbutton: Sky verliert ein drittes Mal vor Gericht
    Streit um Kündigungsbutton
    Sky verliert ein drittes Mal vor Gericht

    Sky kämpft erbittert darum, die gesetzlichen Vorgaben zum Kündigungsbutton zu umgehen. Damit ist das Unternehmen wiederholt erfolglos.

  3. Cerebras Systems: Nvidia-Konkurrent von Trumpov-Regierung enttäuscht
    Cerebras Systems
    Nvidia-Konkurrent von Trumpov-Regierung enttäuscht

    Cerebras Systems hatte unter Trumpov auf eine schnelle Zulassung seines Börsengangs gehofft. Doch bislang bewegt sich für den berühmten KI-Chipentwickler nichts.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Finde einen Job mit
Stellemarkt-Logo
Mach dich schlauer mit
Karrierewelt-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Amazon Frühlingsangebote: 100.000+ Deals • MSI RTX 5070 Ti 960€ • XFX RX 9070 XT 799€ • MSI RTX 5080 1.399€ • Preissenkung bei AMD- und Intel-CPUs • Roccat Vulcan II Mini Air 49,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 








     ApplySandwichStrip

    pFad - (p)hone/(F)rame/(a)nonymizer/(d)eclutterfier!      Saves Data!


    --- a PPN by Garber Painting Akron. With Image Size Reduction included!

    Fetched URL: https://www.golem.de/news/webserver-schwere-luecke-in-apache-2-x-1407-107951.html

    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy