Schwachstelle im Apache-Server kann auch ältere Systeme angreifen

SicherheitSicherheitsmanagement

Die bisherigen Bugfixes lösen das Problem nur auf Apache ab Version 2. Dienstleister Deny-all schlägt Maßnahmen vor, die auch Apache-1.3-Server schützen.

Das Security-Unternehmen Deny-all warnt vor einer Sicherheitslücke im Apache-Webserver.  Erst vor Kurzem hatte die Apache Software Foundation vor einer DoS-Lücke gewarnt und ein Sicherheits-Update geliefert.

Deny-All meldet nun Maßnahmen, die für das DoS-Leck ergriffen werden können, ohne gleich das ganze System aufzurüsten. Die Patches würden von Apache zwar für die Versionen 2.0 und 2.2. geliefert, ein solcher Sicherheitsflicken sei für Apache 1.3 aber derzeit nicht geplant. Andere Maßnahmen seien also notwendig.

Der gemeldete Fehler im Range-Header-Management sei nur dann ausnutzbar, wenn die Funktion »mod_deflate« zum Komprimieren von Server-Antworten angewendet werde. Diese Attacke werde standardmäßig von rWeb (3.0 und 4.0) und sProxy (2.6 und 4.0) abgewehrt, erklärt Deny all und empfiehlt sicherzustellen, dass die Regel, die die Maximallänge des Headers limitiert, nicht versehentlich deaktiviert wurde.

»Die von diesem Filter auferlegten Beschränkungen wehren Attacken ab, die eine große Anzahl von Range-Anweisungen verwenden«, beschreibt der Sicherheitsanbieter die nötigen Abwehrmaßnahmen auch unter Apache 1.3. So könne der Angriff nicht wirksam werden, denn die zusätzliche (angreifbare) Memory-Nutzung bleibe eingeschränkt.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen