Logo von heise online

Suche
22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

  1. Arbeit für Admins: Apache 2.4.10 stopft Sicherheitslücken

    Für Administratoren von Webservern, die auf Apache 2.4.x laufen, heißt es updaten. Die Apache-Entwickler haben mit der neuesten Version der Software fünf Lücken geschlossen, eine davon erlaubt das Ausführen von Schadcode aus dem Netz.

  2. lost+found: Was von der Woche übrig blieb

    Gruselkabinett: Threatglass konserviert verseuchte Webseiten für die Ewigkeit.

    Wegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-Lücke für Android und Entwickler-Tipps für sichere Apps.

  3. Blogger.com: Google verbietet sexuelle Inhalte auf Blog-Plattform

    Google

    Googles neue Richtlinien für die Blog-Plattform Blogger.com verbietet die Veröffentlichung von nicht-jugendfreien Inhalten. Weiterhin erlaubt bleibt Kunst mit nackten Menschen.

  1. Federlesen #14: Mehr Sicherheit bei und mit Apache-Produkten

    Da Open-Source-Software der Apache Software Foundation bei Entwicklern und Administratoren beliebt ist, stellt sich die Frage, wie sicher diese Produkte sind und welche Möglichkeiten es gibt, ihr Sicherheitsniveau zu erhöhen.

  2. Federlesen #15: Verteidigung der Langweile und ein Plädoyer für mehr Nachhaltigkeit

    Mit GNU und der GPL-Lizenz begann vor drei Jahrzehnten die Geschichte der Open-Source-Softwareentwicklung. Inzwischen ist die Open-Source-Welt um einige Lizenz- und Organisationsvarianten reicher und damit auch unübersichtlicher geworden.

  3. EuGH: Gebrauchte Softwarelizenzen dürfen weiterverkauft werden

    Der Europäische Gerichtshof hat jetzt sein langerwartetes Urteil im Fall Oracle gegen UsedSoft verkündet und dem Softwarehersteller eine herbe Niederlage zugefügt.

  1. Google Photos: Unbegrenzter Speicherplatz für Fotos und Videos

    Google Photos: Unbegrenzter Speicherplatz für Fotos und Videos

    Googles Photodienst soll das gesamte Leben seiner Benutzer speichern und organisieren - mit Hilfe einer neuen App und viel künstlicher Intelligenz auf den Servern.

  2. Windows-Fälschungen: Sechs Jahre Haft für “PC Fritz”-Chef

    Windows-Fälschungen: Sechs Jahre Haft für “PC Fritz�-Chef

    “PC Fritz” handelte nach Überzeugung des Gerichts mit gefälschten Windows-CDs. Einer der Drahtzieher wurde nun zu einer Haftstrafe verurteilt, die er jedoch vorerst nicht antreten muss. Ein weiterer Verdächtiger ist noch auf der Flucht.

  3. Android M: App-Berechtigungen überarbeitet, neue Stromspar-Features

    Android M: App-Berechtigungen überarbeitet, neue Stromspar-Features

    Die neue Android-Version mit dem Code-Namen M kommt im zweiten Halbjahr 2015: Nutzer können Schnüffel-Apps nun besser einschränken, Google hat außerdem Bezahlsystem und Stromspar-Features überarbeitet.

  4. l+f: Linux-Wurm befeuert die Follower-Mafia

    l+f: Adressleiste von Apples Safari leicht manipulierbar

    Der Schädling Moose verwandelt Linux-basierte Router in Spam-Schleudern.

Anzeige