Sicherheitslücken im Apache 2.0 Webserver

Michael Slomma
2 Kommentare

Apache gehört wahrscheinlich zu den am weitesten verbreiteten Webservern. Durch zwei nun bekannt gewordene Sicherheitslücken ist es jedoch möglich den Server durch externe Angriffe ausser Gefecht zu setzen. Beide Lücken wurden in der neuesten Version bereits behoben.

Die erste Sicherheitslücke ermöglicht es mittels verschiedener Mechanismen den Server durch eine DoS-Attacke (DoS: Denial of Service) lahmzulegen. Dieselbe Lücke soll es auch ermöglichen, auf dem Server beliebige Anwendungen mit den Rechten der Serveranwendung auszuführen. Betroffen sind die Versionen 2.0.37 bis 2.0.45 aller Betriebssysteme

Die zweite Schwachstelle zielt auf das Authentifizierungsmodul und betrifft die Versionen 2.0.40 bis 2.0.45 auf Unix-Systemen. Durch einen Fehlers des Moduls kann der komplette Authentifizierungsmechanismus lahm gelegt werden, bis der Webserver neu gestartet wird.

Zum Beheben beider Sicherheitslöcher empfielt http://www.apache.org ein Update auf die Version 2.0.46, welche seit kurzem verfügbar ist.