21.06.2002 (Archiv)
Exploit für Lücke in Apache-Servern
Die Patches für das gemeldete Sicherheitsloch in Apache-Webservern laufen weitgehend ins Leere, da sie anscheinend nur gegen die Denial-of-Service-Attacken helfen.Ein aufgetauchtes Exploit ermöglicht Angreifern, eine Remote Shell mit den Rechten des Users, unter dem auch der Webserver läuft, zu öffnen. Betroffen sind die Versionen 1.3 bis einschließlich 1.3.24 sowie Apache 2 bis einschließlich 2.0.36.
Das auf der Sicherheits-Mailingliste Bugtraq in einem Posting veröffentlichte Exploit funktioniert in dieser Form nur unter OpenBSD; Insider sind aber überzeugt, dass über kurz oder lang lauffähige Linux-Exploits im Umlauf sein werden. In dem Exploit heißt es, bei Veröffentlichung des Bugs sei behauptet worden, die Angriffsmöglichkeit mit Ausführung von Code sei nur auf Win32- und 64-Bit-Unix-Systemen gegeben; der Exploit beweise, dass dies nicht so sei.
Die zuvor veröffentlichen Patches sollen dagegen nur gegen die Denial-of-Service-Attacken helfen, die durch die Sicherheitslücke ebenfalls ermöglicht werden. Einzige Möglichkeit, die Anfälligkeit zu beseitigen, ist offensichtlich ein Update des ganzen Apache-Servers auf die Version 1.3.26 beziehungsweise 2.0.39.
Ihre Meinung dazu? Schreiben Sie hier!
Newsticker per eMail oder RSS/Feed!
Auch interessant!
Apache-Projekt flickt Sicherheitslücke in Webserver
Das Apache HTTP-Webserver-Projekt hat mit zwei Updates die gestern, Dienstag, bekannt gewordenen Sicherhe...
Forum: Ihre Meinung dazu! Ins Forum dazu posten... |
RSS-Feeds und mehr