Logo von heise online

Suche
Ronald Eikenberg 22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

Anzeige
  1. Webbrowser Dolphin und Mercury für Android angreifbar

    Webbrowser Dolphin

    Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.

  2. Android Studio und IntelliJ-IDEs erhalten kritische Sicherheitsupdates

    Android Studio und IntelliJ-IDEs erhalten kritisches Sicherheitsupdate

    Android Studio 2.1.1 und die Updates der IntelliJ-IDEs schließen zwei Sicherheitslücken, die unter anderem den Zugang auf das lokale Dateisystem über den integrierten Webserver erlauben.

  3. httpoxy: Trivial ausnutzbare Lücke leitet Server-Traffic um

    HTTPOXY

    Durch ein wieder entdecktes Sicherheitsproblem kann ein Angreifer ausgehenden Datenverkehr eines Servers umleiten und mitlesen. Dazu muss er lediglich einen bestimmten HTTP-Header an den Server schicken.

  4. xt:Commerce: Dringende Patches ohne Details

    Hacker

    Der Anbieter des Online-Shop-Systems xt:Commerce verteilt aktuell einen Sicherheitspatch. Betroffene Admins sollten die abgesicherten Versionen mit "sehr hoher Priorität" einspielen.

  1. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  2. c't uplink 12.4: Packstationen gehackt, unsichere Alarmanlagen, Asus Zenfones

    c't uplink 12.4: Packstationen gehackt, unsichere Alarmanlagen, Asus Zenfones

    Im c't uplink widmen wir uns zwei aktuellen Sicherheitslücken. Die eine öffnete DHL Packstationen für Betrüger, die andere ließ Einbrecher gesicherte Häuser auskundschaften. Für bessere Laune gibt es zwei besondere Asus-Smartphones.

  3. Meinung: Andauernder Murks in Mac OS X

    Meinung: Murks in Mac OS X

    Das Betriebssystem von Apple soll, so sagt es die Legende, besonders stabil und zuverlässig sein. Dafür kostet ein Mac auch etwas mehr. Umso schlimmer ist es, dass Apple schwere Bugs in Mac OS X seit Jahren nicht in den Griff bekommt.

  1. BMW stellt die beliebte G 650 GS ein

    BMW, Zweirad

    Heimlich, still und leise hat BMW die Produktion der G 650 GS eingestellt. Als F 650 und F 650 GS hat sie einst große Erfolge gefeiert. Sie war etliche Jahre die meistverkaufte BMW, noch vor den Boxermodellen

  2. PowerEgg: Eiförmige Drohne mit einklappbaren Rotoren

    PowerEgg: Eiförmige Drohne mit einklappbaren Rotoren

    Die Drohne PowerEgg kann für den Transport ihre Beine und Rotoren einklappen und erinnert dann an ein Ei.

  3. Klartext: DeLorean, das beste schlechte Auto

    Klartext

    Es gibt sehr gute Autos. Es gibt sehr coole Autos. Die Schnittmenge dieser beiden fällt bemerkenswert klein aus. Ganz definitiv nicht in der Schnittmenge befindet sich der Filmheld DeLorean DMC-12

  4. Angeflogen: Quadkopter Yuneec Q500 4K für 850 Euro

    Angeflogen:Quadkopter Yuneec Q500 4K für 850 Euro

    Der chinesische Hersteller Yuneec versucht den Marktführer DJI mit Kampfpreisen unter Druck zu setzen. Die Kollegen unseres Gadget-Blogs TechStage haben getestet, was der Typhoon Q500 4K für 850 Euro taugt.

Anzeige