Logo von heise online

Suche
22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

  1. Arbeit für Admins: Apache 2.4.10 stopft Sicherheitslücken

    Für Administratoren von Webservern, die auf Apache 2.4.x laufen, heißt es updaten. Die Apache-Entwickler haben mit der neuesten Version der Software fünf Lücken geschlossen, eine davon erlaubt das Ausführen von Schadcode aus dem Netz.

  2. lost+found: Was von der Woche übrig blieb

    Gruselkabinett: Threatglass konserviert verseuchte Webseiten für die Ewigkeit.

    Wegen Ostern schon am Donnerstag: Webseiten-Gruselkabinett, CSRF, Key-Klau durch Heartbleed, drei Security-Tools in neuen Version, eine Adobe-Reader-Lücke für Android und Entwickler-Tipps für sichere Apps.

  3. Details zur kritischen Lücke im Telnet-Server von Windows

    Details zur kritischen Lücke im Telnet-Server von Windows

    Auf einer chinesischen Website ist eine detaillierte Analyse der gerade erst gepatchten Telnet-Lücke aufgetaucht – und ein Proof-of-Concept.

  1. Federlesen #14: Mehr Sicherheit bei und mit Apache-Produkten

    Da Open-Source-Software der Apache Software Foundation bei Entwicklern und Administratoren beliebt ist, stellt sich die Frage, wie sicher diese Produkte sind und welche Möglichkeiten es gibt, ihr Sicherheitsniveau zu erhöhen.

  2. NSA/GCHQ: Das HACIENDA-Programm zur Kolonisierung des Internet

    Tabelle 1: Änderungen von ISN, abhängig vom Ziel-Port (Michio Honda, Yoshifumi Nishida, Costin Raiciu, Adam Greenhalgh, Mark Handley, and Hideyuki Tokuda. Is it still possible to extend tcpß In Procee- dings of the 2011 ACM SIGCOMM Conference on Internet Measurement Conference, IMC '11, pages 181{194, New York, NY, USA, 2011. ACM.)

    Neue, als geheim klassifizierte Dokumente belegen ganze Länder umfassende, flächendeckende Portscans und die aktive Kartierung verwundbarer Systeme durch die Geheimdienste. Dies demonstriert das Ansinnen der Dienste, das gesamte Netz zu kolonisieren. Technische Abhilfe ist, auch durch einen neuen RFC, in einem gewissen Ausmaß möglich.

  3. Federlesen #15: Verteidigung der Langweile und ein Plädoyer für mehr Nachhaltigkeit

    Mit GNU und der GPL-Lizenz begann vor drei Jahrzehnten die Geschichte der Open-Source-Softwareentwicklung. Inzwischen ist die Open-Source-Welt um einige Lizenz- und Organisationsvarianten reicher und damit auch unübersichtlicher geworden.

  1. Zu langsames DSL rechtfertigt Kündigung

    DSL-Netzwerkkabel

    Eine zu geringe DSL-Geschwindigkeit führt zu einem außerordentlichen Kündigungsrecht des Kunden, hat ein weiteres Amtsgericht entschieden.

  2. Selbstversuch: Raspberry Pi 2 als Office-PC

    Ein Desktop-Rechner für knapp 40 Euro? Wer Mails lesen, im Internet surfen und Briefe schreiben will, braucht tatsächlich keinen teuren Computer, der Raspberry Pi 2 tuts auch.

  3. Bauvorschlag Kompakt-PC: Tipps zum Zusammenbau

    Unser c't-Bauvorschlag in der Größe einer Schuhschachtel eignet sich nicht nur fürs Büro, sondern dank des kräftigen Kombiprozessors auch für 3D-Spiele. Wie erklären, worauf Sie beim Zusammenbau achten müssen.

  4. c't uplink 5.0: Windows 10, Das kommt 2015, Yotaphone 2, Nexus 6

    c't uplink 5.0: Windows 10, Das kommt 2015, Yotaphone 2, Nexus 6

    In c't uplink diskutieren wir in dieser Woche die Neuigkeiten zu Windows 10 und der Holobrille HoloLens von Microsoft. Außerdem sprechen wir über die Trends, die uns dieses Jahr erwarten und ganz konkret einige der aktuellsten Smartphones.

Anzeige