Logo von heise online

Suche
Ronald Eikenberg 22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

Anzeige
  1. Webbrowser Dolphin und Mercury für Android angreifbar

    Webbrowser Dolphin

    Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.

  2. Android Studio und IntelliJ-IDEs erhalten kritische Sicherheitsupdates

    Android Studio und IntelliJ-IDEs erhalten kritisches Sicherheitsupdate

    Android Studio 2.1.1 und die Updates der IntelliJ-IDEs schließen zwei Sicherheitslücken, die unter anderem den Zugang auf das lokale Dateisystem über den integrierten Webserver erlauben.

  3. xt:Commerce: Dringende Patches ohne Details

    Hacker

    Der Anbieter des Online-Shop-Systems xt:Commerce verteilt aktuell einen Sicherheitspatch. Betroffene Admins sollten die abgesicherten Versionen mit "sehr hoher Priorität" einspielen.

  4. StrongSwan: Angreifer können VPN-Authentifizierung umgehen

    Hacker

    Das EAP-MSCHAPv2-Plug-in in der IPSec-Umsetzung StrongSwan ist verwundbar. Eine gefixte Version ist bereits verfügbar.

  1. Federlesen #15: Verteidigung der Langweile und ein Plädoyer für mehr Nachhaltigkeit

    Mit GNU und der GPL-Lizenz begann vor drei Jahrzehnten die Geschichte der Open-Source-Softwareentwicklung. Inzwischen ist die Open-Source-Welt um einige Lizenz- und Organisationsvarianten reicher und damit auch unübersichtlicher geworden.

  2. Allumfassende Spionage. Was bleibt außer Kapitulation?

    Schaue ich mir nur die Meldungen der letzten Wochen darüber an, wer versucht, mich wo und wie ungefragt zu überwachen, dann wird mir ganz schlecht. Und mit Gegenmaßnahmen komme ich nicht hinterher.

  3. Federlesen #14: Mehr Sicherheit bei und mit Apache-Produkten

    Da Open-Source-Software der Apache Software Foundation bei Entwicklern und Administratoren beliebt ist, stellt sich die Frage, wie sicher diese Produkte sind und welche Möglichkeiten es gibt, ihr Sicherheitsniveau zu erhöhen.

  1. Renault Grand Scénic: Lang gemacht

    Renault

    Renault zeigt erste Bilder vom neuen Grand Scénic. Der ist deutlich länger als sein geräumiger Vorgänger und sollte so auch mehr Platz bieten.

  2. Toyota überarbeitet seinen Luxus-Van Alphard/Vellfire

    Toyota

    Toyota kündigt in Japan die überarbeitete Neuauflage seines opulenten, sieben- bis achtsitzigen Komfort-Vans in zwei Darreichungsformen „Alphard“ und „Vellfire“ an. Neu ist ein Hybrid-Allradantrieb. Ein Fahrzeug, das uns nicht nur geographisch fern ist und uns wohl auch nicht erreichen wird

  3. Probefahrt mit dem Alfa Romeo Giulia Quadrifoglio: Anzugsmoment

    Alfa Romeo

    Eine erste kurze Probefahrt mit dem neuen Topmodell des Alfa Romeo Giulia zeigt: Den Italienern ist ein begehrenswertes Auto gelungen, was nicht nur am überaus kräftigen Antrieb liegt. Echte Konkurrenten sind rar

  4. Klartext: Gut vs. Besser

    Klartext

    Als ich 2012 eine KTM 690 Duke kaufte, gab es noch keine R-Version. Die kam erst einige Zeit später. Zum Glück, muss man heute sagen, denn die R zu fahren machte mir meine normale Duke madig

Anzeige