Logo von heise online

Suche
22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

  1. Arbeit für Admins: Apache 2.4.10 stopft Sicherheitslücken

    Für Administratoren von Webservern, die auf Apache 2.4.x laufen, heißt es updaten. Die Apache-Entwickler haben mit der neuesten Version der Software fünf Lücken geschlossen, eine davon erlaubt das Ausführen von Schadcode aus dem Netz.

  2. Blogger.com: Google verbietet sexuelle Inhalte auf Blog-Plattform

    Google

    Googles neue Richtlinien für die Blog-Plattform Blogger.com verbietet die Veröffentlichung von nicht-jugendfreien Inhalten. Weiterhin erlaubt bleibt Kunst mit nackten Menschen.

  3. D-Link-Patch ergänzt Sicherheitslücken durch neue Lücke

    D-Link-Patch ersetzt Sicherheitslücken durch neue Lücke

    Beim Versuch drei Lücken in der Firmware der Router DIR-645 und DIR-890L zu schließen, hat D-Link eine weitere Lücke eingebaut. Und die alten Löcher klaffen immer noch.

  1. Allumfassende Spionage. Was bleibt außer Kapitulation?

    Schaue ich mir nur die Meldungen der letzten Wochen darüber an, wer versucht, mich wo und wie ungefragt zu überwachen, dann wird mir ganz schlecht. Und mit Gegenmaßnahmen komme ich nicht hinterher.

  2. Federlesen #14: Mehr Sicherheit bei und mit Apache-Produkten

    Da Open-Source-Software der Apache Software Foundation bei Entwicklern und Administratoren beliebt ist, stellt sich die Frage, wie sicher diese Produkte sind und welche Möglichkeiten es gibt, ihr Sicherheitsniveau zu erhöhen.

  3. Federlesen #15: Verteidigung der Langweile und ein Plädoyer für mehr Nachhaltigkeit

    Mit GNU und der GPL-Lizenz begann vor drei Jahrzehnten die Geschichte der Open-Source-Softwareentwicklung. Inzwischen ist die Open-Source-Welt um einige Lizenz- und Organisationsvarianten reicher und damit auch unübersichtlicher geworden.

  1. Letzter US-Förderer pleite: Der Hype um Seltene Erden ist vorbei

    Letzter US-Förderer pleite: Der Hype um Seltene Erden ist vorbei

    Vor einigen Jahren erklärte der Finanzvertrieb Seltene Erden zum Investment der Stunde: Mit Zertifikaten und Fonds sollten Anleger vom Boom profitieren. Doch stattdessen brachen Nachfrage und Aktienkurse ein. Nun ist der letzte US-Förderer insolvent.

  2. Downsizing 1930

    Klassiker

    Der Bentley 4,5 Litre ist eine Legende. Der Rennwagen wurde von einem Motor mit Roots-Verdichter beflügelt, Turbolader waren damals noch Schiffsdieseln vorbehalten. Wenn auf Veranstaltungen wie der Mille Miglia eines von 50 gebauten Exemplaren antritt, wird der Mythos lebendig

  3. iCloud-Musikmediathek verhindert lokalen iTunes-Sync

    Apple Musikstreaming

    iTunes kann Musik nicht länger lokal an ein iOS-Gerät übertragen, wenn Nutzer die neue iCloud-Mediathek aktiviert haben. Apple Music setzt sie für bestimmte Funktionen voraus.

  4. Renditefalke

    Volkswagen hat beschlossen, den intern „Falcon“ genannten Luxus-SUV im slowakischen Bratislava zu bauen. Das 200.000 Euro teure SUV soll 2015 auf den Markt kommen

Anzeige