Menü
Alert!
Security

Lücke in Kerberos-Modul gefährdet Apache-Webserver

vorlesen Drucken Kommentare lesen 7 Beiträge

Durch die Authentifizierung mittels Kerberos sollen Netze zwar sicherer werden, durch eine Sicherheitslücke im Apache-Modul mod_auth_kerb tritt aber das genaue Gegenteil ein. Ist dort die Version 5.0, 5.1 oder 5.2 installiert, kann ein Angreifer über präparierte Kerberos-Anfragen einen verwundbaren Webserver zum Absturz bringen oder sogar eigenen Code einschleusen und starten. Andere Versionen des Moduls sind eventuell ebenfalls betroffen.

Genaue Angaben zu dem Fehler gibt es noch nicht, es soll sich aber um einen Heap Overflow im Modul spnegokrb5/der_get.c in der Funktion der_get_oid handeln. Ein offizielles Update steht nicht zur Verfügung. Es ist damit zu rechnen, dass die Linux-Distributoren bald aktualisierte Pakete herausgeben werden.

Siehe dazu auch:

(dab)