• heise online
  • c't Magazin
  • iX Magazin
  • Technology Review
  • Telepolis
  • heise mobil
  • heise Security
  • heise Netze
  • Open Source
  • heise Developer
  • heise Resale
  • heise Foto
  • heise Autos
  • c't-TV
  • Software/Download
  • Stellenangebote
  • Preisvergleich
  • Tarifrechner
  • IT-Markt
  • heise-marktplatz
  • heise Veranstaltungen
  • heise Whitepapers
  • Abo&Heft
  • Archiv

Security > News > 2010 > KW 10 > Update für Apache-Webserver 2.2 schließt mehrere Sicherheitslücken

News-Meldung vom 09.03.2010 10:38

« Vorige | Nächste »

Update für Apache-Webserver 2.2 schließt mehrere Sicherheitslücken

Version 2.2.15 des HTTP Server der Apache Software Foundation korrigiert zahlreiche Fehler und schließt drei Sicherheitslücken. Zudem bietet die neue Version die Möglichkeit, die unsichere Variante der TLS-Renegotiation für Clients wieder zu aktivieren, die die neue "Renegotiation Indication Extension" (RFC5746 ) noch nicht unterstützen.

Die IETF hatte das TLS-Protokoll (RFC 5246) um die TLS-Extension renegotiation_info ergänzt, die kryptografisch relevante Informationen einer Verbindung speichern soll, um eine eindeutig authentifizierte Zuordnung eines Client-Requests vor einer TLS-Renegotiation zu dem Request nach der Neuaushandlung zu ermöglichen. In der Ende Februar erschienenen OpenSSL-Version 0.9.8m wurde TLS Renegotiation Indication Extension bereits implementiert, sodass Angreifer keine eigene Pakete in gesicherte SSL-Verbindungen mehr einschleusen und so beispielsweise Webanwendungen manipulieren können. Bisherige Lösungen sahen vor, TLS-Renegotiation komplett zu unterbinden. Um die unsichere Renegotiation mittels der Option SSLInsecureRenegotiation aktivieren zu  können, muss der Apache-Webserver jedoch gegen OpenSSL 0.9.8m kompiliert worden sein.

Bei den Sicherheitslücken handelt es sich um Probleme im Modul mod_proxy_ajp und dem Multi-Processing Module (MPM), wodurch präparierte Pakete den Server kurz aus dem Tritt bringen können oder Client-Requests vom falschen Thread verarbeitet werden.

Besonderes Augenmerk verdient eine als kritisch eingestufte Lücke im Modul mod_isapi für die Windows-Version des Apache. Die Internet Server API (ISAPI) ist eine Programmierschnittstelle von Microsoft; das Modul erlaubt dem Apache-Webserver Anwendungen zu laden, die beispielsweise für IIS geschrieben sind. Laut Fehlerbericht führen spezielle Request an den Server dazu, dass sich das Modul entlädt, bevor es einen Request vollständig beendet hat. Das kann zu verwaisten Zeigern im Speicher führen, was sich wiederum zum Starten eines zuvor eingeschleusten Programms mit Systemrechten aus der Ferne ausnutzen lässt.

Der Sicherheitsdienstleister Sense of Security hat einen Exploit veröffentlicht, der unter Windows die Datei sos.txt anlegt; ein Video (MP4) zeigt zudem, wie sich der Fehler zum Binden einer Shell an den TCP-Port 4444 ausnutzen lässt. Administratoren sollten die neue Apache-Version so bald wie möglich installieren.

Siehe dazu auch:


  • Apache 2.2.14 mod_isapi Dangling Pointer, Bericht von Sense of Security
  • Lösung für Schwachstelle im Design von SSL/TLS in Sicht
  • OpenSSL fixt TLS-Schwachstelle
  • Passwortklau durch Schwachstelle im SSL/TLS-Protokoll
  • Schwachstelle im SSL/TLS-Protokoll
(dab)

English version: Update for Apache 2.2 web server closes various security holes

« Vorige | Nächste »

Version zum Drucken | Per E-Mail versenden

Kommentare lesen (7 Beiträge)

Themen-Forum Schwachstellen

Auch auf heise online:

  • Zwei Schwachstellen in OpenOffice 3.2.1 geschlossen
  • Lösung für Schwachstelle im Design von SSL/TLS in Sicht
  • TLS-Renegotiation-Schwachstelle erklärt
  • Updates für Apache Tomcat
  • Neue Apache-Versionen schließen Lücken
  • Apache-Version 1.3.31 verfügbar

Mehr zum Thema Apache Software Foundation

Der Update-Check

Artikel

  • Tatort Internet: PDF mit Zeitbombe
  • Tatort Internet: Zeig mir das Bild vom Tod
  • Tatort Internet: Alarm beim Pizzadienst
  • Kostenloser Antivirenproxy schützt vor Webangriffen
  • Tutorial für Mac-Exploits

Tools

  • Virustotal.rb
  • Malzilla
  • Skipfish
  • OSSEC
  • Ncat

Lesenswertes

  • Tutorial für Mac-Exploits
  • Buffer Overflow in C&C-Server
  • Kryptanalyse der DECT-Verschlüsselung
  • Weitergereicht - Pass-The-Hash-Angriffe gegen Windows
  • Spionage auf Blackberry-Geräten

Alerts

  • Typo3
  • Symantec und Lotus Notes
  • Quicktime
  • Google Chrome
  • vBulletin
heise Security

Suche

 

News

  • 7-Tage-Alerts
  • 7-Tage-News
  • News-Archiv
  • Newsletter
  • English News
  • News mobil
  • RSS-Feed

Hintergrund

  • Know-how
  • Kommentar
  • Praxis
  • Produkte
  • Hintergrund-Archiv

Foren

  • Desktopsicherheit
  • Firewall, VPN & IDS
  • heise Security
  • Penetration Tests
  • Politik und Gesellschaft
  • Schwachstellen
  • Serversicherheit
  • Verschlüsselung
  • Viren & Würmer

Dienste

  • Anti-Virus
  • Browsercheck
  • Emailcheck
  • Krypto-Kampagne
  • Netzwerkcheck
  • Tools
  • Update-Check
  • Datenschutzhinweis
  • Impressum, Kontakt
  • FAQ
  • Mediadaten
  • 492532
  • Contentmanagement by InterRed
  • Copyright © 2010 Heise Zeitschriften Verlag
  • International: The H, The H Security, The H Open Source, heise online Polska, heise Security Polska, heise Open Source Polska, heise Networks Polska