Logo von heise online

Suche
Ronald Eikenberg 22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

Anzeige
  1. Webbrowser Dolphin und Mercury für Android angreifbar

    Webbrowser Dolphin

    Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.

  2. Android Studio und IntelliJ-IDEs erhalten kritische Sicherheitsupdates

    Android Studio und IntelliJ-IDEs erhalten kritisches Sicherheitsupdate

    Android Studio 2.1.1 und die Updates der IntelliJ-IDEs schließen zwei Sicherheitslücken, die unter anderem den Zugang auf das lokale Dateisystem über den integrierten Webserver erlauben.

  3. httpoxy: Trivial ausnutzbare Lücke leitet Server-Traffic um

    HTTPOXY

    Durch ein wieder entdecktes Sicherheitsproblem kann ein Angreifer ausgehenden Datenverkehr eines Servers umleiten und mitlesen. Dazu muss er lediglich einen bestimmten HTTP-Header an den Server schicken.

  4. xt:Commerce: Dringende Patches ohne Details

    Hacker

    Der Anbieter des Online-Shop-Systems xt:Commerce verteilt aktuell einen Sicherheitspatch. Betroffene Admins sollten die abgesicherten Versionen mit "sehr hoher Priorität" einspielen.

  1. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Mitte Juli dürfte Linux 4.7 erscheinen. Dieser Artikel liefert schon jetzt einen umfassenden Überblick über die wichtigsten Verbesserungen der neuen Kernel-Version.

  2. NSA/GCHQ: Das HACIENDA-Programm zur Kolonisierung des Internet

    Tabelle 1: Änderungen von ISN, abhängig vom Ziel-Port (Michio Honda, Yoshifumi Nishida, Costin Raiciu, Adam Greenhalgh, Mark Handley, and Hideyuki Tokuda. Is it still possible to extend tcpß In Procee- dings of the 2011 ACM SIGCOMM Conference on Internet Measurement Conference, IMC '11, pages 181{194, New York, NY, USA, 2011. ACM.)

    Neue, als geheim klassifizierte Dokumente belegen ganze Länder umfassende, flächendeckende Portscans und die aktive Kartierung verwundbarer Systeme durch die Geheimdienste. Dies demonstriert das Ansinnen der Dienste, das gesamte Netz zu kolonisieren. Technische Abhilfe ist, auch durch einen neuen RFC, in einem gewissen Ausmaß möglich.

  3. c't uplink 12.4: Packstationen gehackt, unsichere Alarmanlagen, Asus Zenfones

    c't uplink 12.4: Packstationen gehackt, unsichere Alarmanlagen, Asus Zenfones

    Im c't uplink widmen wir uns zwei aktuellen Sicherheitslücken. Die eine öffnete DHL Packstationen für Betrüger, die andere ließ Einbrecher gesicherte Häuser auskundschaften. Für bessere Laune gibt es zwei besondere Asus-Smartphones.

  1. Nvidia Titan X für 1200 US-Dollar: Pascal-GPU mit 3584 Kernen und 12 GByte Speicher

    Nvidia Titan X für 1200 US-Dollar: Pascal-GPU mit 3584 Kernen, 12 GByte Speicher

    Nvidia hat sein neues Grafikkarten-Flaggschiff Titan X vorgestellt. Sie hat 12 GByte Speicher, eine GPU mit 3584 Kernen und kostet 1200 US-Dollar.

  2. #heiseshow, ab 12 Uhr live: Pokémon Go, Microsoft HoloLens, Google Tango... Augmented Reality boomt, VR ist vergessen?

    heiseshow, #heiseshow

    Augmented Reality ist der heiße Scheiß der Stunde, Virtual Reality scheint dagegen fast vergessen. Ist das bereits eine Vorentscheidung oder wird AR mit Pokémon Go schon bald wieder verschwinden? Darüber diskutieren wir in einer neuen #heiseshow.

Anzeige