Logo von heise online

Suche
Ronald Eikenberg 22

Apache-Patch patcht nicht richtig

Eine eigentlich bereits Anfang Oktober gepatchte Sicherheitslücke in Apache erlaubt Angreifern nach wie vor den Zugriff auf interne Server, wie die Sicherheitsexpertin Prutha Parikh berichtet. Die Lücke tritt in den Modulen mod_proxy und mod_rewrite beim Parsing von ReWrite-Regeln auf.

Anzeige

Parikh hat ein Szenario entdeckt, das nicht von dem Patch erfasst wird und das Problem mit einer neuen CVE-Nummer an die Apache Foundation gemeldet. Ein Patch wird bereits auf der Apache-Mailingliste diskutiert. Sofortschutz bietet ein Workaround, den Parikh in ihrem Blog beschreibt. (rei)

22 Kommentare

Themen:

Anzeige
  1. Webbrowser Dolphin und Mercury für Android angreifbar

    Webbrowser Dolphin

    Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.

  2. Android Studio und IntelliJ-IDEs erhalten kritische Sicherheitsupdates

    Android Studio und IntelliJ-IDEs erhalten kritisches Sicherheitsupdate

    Android Studio 2.1.1 und die Updates der IntelliJ-IDEs schließen zwei Sicherheitslücken, die unter anderem den Zugang auf das lokale Dateisystem über den integrierten Webserver erlauben.

  3. httpoxy: Trivial ausnutzbare Lücke leitet Server-Traffic um

    HTTPOXY

    Durch ein wieder entdecktes Sicherheitsproblem kann ein Angreifer ausgehenden Datenverkehr eines Servers umleiten und mitlesen. Dazu muss er lediglich einen bestimmten HTTP-Header an den Server schicken.

  4. Offizielles Dota-2-Forum gehackt: Daten von 1,9 Millionen Mitgliedern kopiert

    Offizielles Forum des Computerspiels Dota 2 gehackt: Nutzer-Daten von 1,9 Millionen Mitgliedern kopiert

    Die Betreiber des Dota-Dev-Forums haben einen Einbruch in ihre Server bekanntgeben. Dabei sei die komplette Datenbank abgezogen worden. 80 Prozent der Passwörter sollen bereits geknackt sein.

  1. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Das Anfang Oktober erwartete Linux 4.8 bringt zahlreiche neue und überarbeitete Treiber, durch die der Kernel fünfhundert weitere Geräte oder Geräteklassen unterstützt. Ferner gab es allerlei Verbesserungen, die das Ausnutzen von Sicherheitslücken erschweren.

  2. c't uplink 12.4: Packstationen gehackt, unsichere Alarmanlagen, Asus Zenfones

    c't uplink 12.4: Packstationen gehackt, unsichere Alarmanlagen, Asus Zenfones

    Im c't uplink widmen wir uns zwei aktuellen Sicherheitslücken. Die eine öffnete DHL Packstationen für Betrüger, die andere ließ Einbrecher gesicherte Häuser auskundschaften. Für bessere Laune gibt es zwei besondere Asus-Smartphones.

  3. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  1. Mercedes-Benz Zetros 2733 A 6x6 als Luxus-Offroader

    Offroad-Liebhaber sind Männer von der ganz harten Sorte - oder etwa doch nicht? Das Expeditionsmobil Mercedes Zetros 2733 A 6x6 vereint extreme Offroadfähigkeiten mit wohligem Luxus

  2. Samsung Galaxy Note 7: Umtauschprogramm geändert, Geräte werden direkt abgeholt

    Galaxy Note 7

    Nach den großen Problemen mit dem Austausch der Galaxy Note 7 reagiert Samsung und verspricht den betroffenen Kunden, die Geräte direkt an der Haustür zu tauschen. DHL hatte sich wegen gesetzlicher Vorschriften geweigert, alte Geräte zu transportieren.

Anzeige