Logo von heise online

Suche
22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

  1. Arbeit für Admins: Apache 2.4.10 stopft Sicherheitslücken

    Für Administratoren von Webservern, die auf Apache 2.4.x laufen, heißt es updaten. Die Apache-Entwickler haben mit der neuesten Version der Software fünf Lücken geschlossen, eine davon erlaubt das Ausführen von Schadcode aus dem Netz.

  2. Webbrowser Dolphin und Mercury für Android angreifbar

    Webbrowser Dolphin

    Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.

  3. Blogger.com: Google verbietet sexuelle Inhalte auf Blog-Plattform

    Google

    Googles neue Richtlinien für die Blog-Plattform Blogger.com verbietet die Veröffentlichung von nicht-jugendfreien Inhalten. Weiterhin erlaubt bleibt Kunst mit nackten Menschen.

  1. Allumfassende Spionage. Was bleibt außer Kapitulation?

    Schaue ich mir nur die Meldungen der letzten Wochen darüber an, wer versucht, mich wo und wie ungefragt zu überwachen, dann wird mir ganz schlecht. Und mit Gegenmaßnahmen komme ich nicht hinterher.

  2. Federlesen #15: Verteidigung der Langweile und ein Plädoyer für mehr Nachhaltigkeit

    Mit GNU und der GPL-Lizenz begann vor drei Jahrzehnten die Geschichte der Open-Source-Softwareentwicklung. Inzwischen ist die Open-Source-Welt um einige Lizenz- und Organisationsvarianten reicher und damit auch unübersichtlicher geworden.

  3. Federlesen #14: Mehr Sicherheit bei und mit Apache-Produkten

    Da Open-Source-Software der Apache Software Foundation bei Entwicklern und Administratoren beliebt ist, stellt sich die Frage, wie sicher diese Produkte sind und welche Möglichkeiten es gibt, ihr Sicherheitsniveau zu erhöhen.

  1. Microsoft nennt Datum für Support-Ende von Windows 10

    Windows 10-Update

    Eigentlich soll Windows 10 das letzte Windows sein, dass künftig mit ständigen Upgrades stets auf dem aktuellen Stand bleiben soll. Trotzdem steht im Lifecycle-Guide von Microsoft ein Datum für das Support-Ende.

  2. Versteckte Dateien fressen iCloud-Speicherplatz

    Onlinespeicher - iCloud

    Nutzer berichten, dass ihr iCloud-Speicherlimit plötzlich erreicht und ein Backup nicht mehr möglich ist. Welche Daten den Speicherplatz belegen zeigt iCloud allerdings nicht an, ein Löschen ist deshalb unmöglich.

  3. Eigener Weg

    Der Citroën 2CV aus technischer Sicht

    Was ein Citroën 2CV ist, wissen Sie? 25 Jahre nach Produktionsende konnten Sie gerade die gleichen Nachrufe lesen, wie sie letztes Jahr zum 65. Produktionsjubiläum erschienen sind. Das wollen wir gern zum Anlass nehmen, Sie nicht schon wieder mit dem „Regenschirm auf Rädern“ amüsieren zu wollen

  4. Oben licht

    SMART

    Als "einziges Cabrio seiner Klasse" bezeichnet Smart den neuen Faltdach-Fortwo. Das scheint gewagt, erinnert er doch mehr an ein Auto mit überdimensionales Faltschiebedach. Trotzdem ist er womöglich der konsequentere Smart, zumindest aber der, der mehr Spaß bereiten wird

Anzeige