Logo von heise online

Suche
Ronald Eikenberg 22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

Anzeige
  1. Webbrowser Dolphin und Mercury für Android angreifbar

    Webbrowser Dolphin

    Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.

  2. Die Rückkehr einer totgeglaubten Flash-Lücke

    Adobe

    Trotz eines vor vier Jahren von Adobe veröffentlichten Patches für das Flex SDK kursieren immer noch verwundbare Shockwave-Flash-Elemente auf vielen Webseiten. Das könnten Angreifer ausnutzen und sensible Nutzer-Daten abgreifen.

  3. StrongSwan: Angreifer können VPN-Authentifizierung umgehen

    Hacker

    Das EAP-MSCHAPv2-Plug-in in der IPSec-Umsetzung StrongSwan ist verwundbar. Eine gefixte Version ist bereits verfügbar.

  4. Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

    Patchday-Déjà-vu: Microsoft schließt LNK-Lücke von 2010

    Microsoft schließt 54 Sicherheitslücken mit seinen Patchday-Updates. Darunter die Freak-Lücke in Windows und die UXSS-Lücke im Internet Explorer. Auch ein alter Bekannter wird noch einmal gepatcht: Die LNK-Lücke, die durch Stuxnet berühmt wurde.

  1. Federlesen #15: Verteidigung der Langweile und ein Plädoyer für mehr Nachhaltigkeit

    Mit GNU und der GPL-Lizenz begann vor drei Jahrzehnten die Geschichte der Open-Source-Softwareentwicklung. Inzwischen ist die Open-Source-Welt um einige Lizenz- und Organisationsvarianten reicher und damit auch unübersichtlicher geworden.

  2. Allumfassende Spionage. Was bleibt außer Kapitulation?

    Schaue ich mir nur die Meldungen der letzten Wochen darüber an, wer versucht, mich wo und wie ungefragt zu überwachen, dann wird mir ganz schlecht. Und mit Gegenmaßnahmen komme ich nicht hinterher.

  3. Federlesen #14: Mehr Sicherheit bei und mit Apache-Produkten

    Da Open-Source-Software der Apache Software Foundation bei Entwicklern und Administratoren beliebt ist, stellt sich die Frage, wie sicher diese Produkte sind und welche Möglichkeiten es gibt, ihr Sicherheitsniveau zu erhöhen.

  1. Basteln für Himmelfahrt: Bar-Fahrrad statt Bollerwagen

    Himmelfahrt: Bar-Fahrrad, Bierbrauen und Atemalkoholtester

    Wenn die biergefüllten Handkarren am Vatertag die Feldwege verstopfen, schlängelt man sich mit dem selbstgebautem Bar-Fahrrad elegant vorbei. Einen Baubericht aus dem Make-Archiv gibt es jetzt als PDF.

  2. Digitalkommissar Oettinger: “Lieber Schlaglöcher als Funklöcher”

    Günther Oettinger

    Der EU-Kommissar für die Digitale Wirtschaft drängt auf einen schnellen Breitbandausbau. Das Netz ist die zentrale Infrastruktur der digitalen Gesellschaft und soll Priorität haben – zur Not auch auf Kosten kaputter Straßen.

  3. BMW i3 mit 50 Prozent mehr Reichweite

    Elektroautos, alternative Antriebe

    Das größte Problem der E-Auto-Verkäufer ist wohl die bei vielen Nutzern berechtigte Reichweitenangst. BMW bringt nun, zweieinhalb Jahre nach Markteinführung seines i3, eine Version mit einer angegebenen Reichweite von bis zu 300 Kilometern heraus

  4. Skoda: Updates für Fabia und Superb zum Modelljahr 2017

    Skoda

    Das Jahr 2017 hat soeben bereits begonnen – zumindest in der Logik der Modelljahre einiger Hersteller. Besonders früh ist fast schon traditionell Skoda dran. Die Volkswagen-Marke verrät schon jetzt, was sich in Fabia und Superb ändert, die ab Ende Mai gebaut werden

Anzeige