Schwachstelle im Apache-Server kann auch ältere Systeme angreifen

Manfred Kohlen,
SicherheitSicherheitsmanagement

Das Security-Unternehmen Deny-all warnt vor einer Sicherheitslücke im Apache-Webserver.  Erst vor Kurzem hatte die Apache Software Foundation vor einer DoS-Lücke gewarnt und ein Sicherheits-Update geliefert.

Deny-All meldet nun Maßnahmen, die für das DoS-Leck ergriffen werden können, ohne gleich das ganze System aufzurüsten. Die Patches würden von Apache zwar für die Versionen 2.0 und 2.2. geliefert, ein solcher Sicherheitsflicken sei für Apache 1.3 aber derzeit nicht geplant. Andere Maßnahmen seien also notwendig.

Der gemeldete Fehler im Range-Header-Management sei nur dann ausnutzbar, wenn die Funktion »mod_deflate« zum Komprimieren von Server-Antworten angewendet werde. Diese Attacke werde standardmäßig von rWeb (3.0 und 4.0) und sProxy (2.6 und 4.0) abgewehrt, erklärt Deny all und empfiehlt sicherzustellen, dass die Regel, die die Maximallänge des Headers limitiert, nicht versehentlich deaktiviert wurde.

»Die von diesem Filter auferlegten Beschränkungen wehren Attacken ab, die eine große Anzahl von Range-Anweisungen verwenden«, beschreibt der Sicherheitsanbieter die nötigen Abwehrmaßnahmen auch unter Apache 1.3. So könne der Angriff nicht wirksam werden, denn die zusätzliche (angreifbare) Memory-Nutzung bleibe eingeschränkt.

Lesen Sie auch :

Neun Monate ungepatchte Schwachstelle gefährdet Java-Anwendungen

Malware Darkleech nutzt tausende Apache-Server zum Angriff auf Webnutzer

Backdoor entdeckt: Angreifer kaperten schon hunderte Apache-Server
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen