Sicherheitslücke im Apache

Dieses Thema im Forum "Security Talk" wurde erstellt von Nightwing, 18.06.2002.

  1. #1 Nightwing, 18.06.2002
    Nightwing

    Nightwing User

    Dabei seit:
    08.04.2002
    Beiträge:
    108
    Zustimmungen:
    0
    Ort:
    Oberhausen
    Sicherheitslücke im Apache

    Buffer-Overflow erlaubt das Ausführen von beliebigem Code

    Der weit verbreitete Web-Server Apache enthält eine Sicherheitslücke, die es unter bestimmten Umständen erlaubt, beliebigen Code auf einem verwundbaren Rechner auszuführen. Betroffen sind sowohl Apache 1.3.x als auch Apache 2.x auf allen Plattformen. Durch einen Rechenfehler wird die Länge des für "chunk encoding" benötigten Puffers falsch berechnet. In der Folge weist der Apache Webserver eine Pufferüberlaufschwachstelle auf, durch die Angreifer möglicherweise beliebigen Programmcode über eine Netzwerkverbindung ausführen können. Der Programmcode wird mit den Privilegien des Apache-Prozesses ausgeführt.

    Bei der Apache-2.x-Version scheint durch diese Schwachstelle keine Ausführung von Programmcode möglich zu sein, jedoch kann diese Schwachstelle zu einem Denial of Service (DoS) ausgenutzt werden, so die Apache-Entwickler.

    Für die Windows-Version von Apache 1.3.24 liegen zudem Berichte vor, dass Exploits entwickelt wurden, die das Ausführen beliebigen Codes erlauben. Zudem legen Windows und Netware dabei einen neuen Prozess und lesen die Konfiguration neu ein, statt einen Child-Prozess zu starten, was zu größeren Pausen führt als auf anderen Plattformen.

    Auf 32-Bit-Unix-Plattformen in Verbindung mit Apache 1.3.x führt der Fehler zu einer "Segmentation Violation", der Kindprozess stirbt. Auf 64-Bit-Plattformen wird der Überlauf allerdings kontrolliert, wodurch diese Systeme möglicherweise verwundbar werden.

    Bislang steht die Veröffentlichung des offiziellen Patches noch aus, das Apache-Team arbeitet nach eigenen Angaben an einer neuen Version, die das Problem beheben soll. Ein Debian-Paket mit einem noch kaum getesteten Patch aus dem Apache-CVS, der das Problem beheben soll, solange mod_prxy nicht verwendet wird, stellt das CERT der Universität Stuttgart zur Verfügung. Der von der Firma ISS angebotene Patch hingegen löst das Problem nicht, so die Apache-Entwickler.

    ( quelle: www.golem.de )
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    UI UI UI !

    Ich hoffe das wir schnell behoben .... !
     
  4. #3 Nightwing, 18.06.2002
    Nightwing

    Nightwing User

    Dabei seit:
    08.04.2002
    Beiträge:
    108
    Zustimmungen:
    0
    Ort:
    Oberhausen
    hehe

    Das rennt bei mir noch auf dem server. kommt davon wenn man so faul ist wie ich :]
     
Thema:

Sicherheitslücke im Apache

Die Seite wird geladen...

Sicherheitslücke im Apache - Ähnliche Themen

  1. Ubuntu LTS: Viele Sicherheitslücken ungepatcht

    Ubuntu LTS: Viele Sicherheitslücken ungepatcht: Einem Bericht des Computer-Magazins »ct« zufolge kann die von »Ubuntu LTS« versprochene Langzeitpflege nicht das halten, was sie verspricht. Viele...
  2. Samba schließt kritische Sicherheitslücke

    Samba schließt kritische Sicherheitslücke: Nachdem das Samba-Team bereits vor drei Wochen eine Warnung vor einer kritischen Sicherheitslücke in der eigenen Software, aber auch in Windows,...
  3. Samba warnt vor kritischer Sicherheitslücke

    Samba warnt vor kritischer Sicherheitslücke: Das Samba-Team hat eine Warnung vor einer kritischen Sicherheitslücke in der eigenen Software, aber auch in Windows, herausgegeben. Badlock, so...
  4. Samba warnt vor kritischer Sicherheitslücke

    Samba warnt vor kritischer Sicherheitslücke: Das Samba-Team hat eine Warnung vor einer kritischen Sicherheitslücke in der eigenen Software, aber auch in Windows, herausgegeben. Badlock, so...
  5. Viele Linux-Router mit Sicherheitslücken

    Viele Linux-Router mit Sicherheitslücken: Forscher von der Carnegie Mellon University und der Universität Boston haben viele Linux-Router mit automatisierten Werkzeugen untersucht und...