Oracle schließt DoS-Lücken außer der Reihe

Auch Oracle korrigiert die fehlerhafte Implementierung des Byte-Range-Request im Apache-Webserver. Betroffen sind der Application Server und die Fusion Middleware.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Christian Kirsch

Ein Fehler in der Umsetzung von Byte-Range-Requests durch den Apache-Webserver betrifft auch Produkte von Oracle, die diese Open-Source-Software integrieren. Dafür bietet das Unternehmen nun Korrekturen außerhalb seines üblichen dreimonatigen Patch-Zyklus an.

Betroffen sind die Fusion Middleware 11g Release 1 (Versionen 11.1.1.3 bis 11.1.1.5) sowie der Enterprise Manager, da er diese Fusion-Komponente enthält. Außerdem ist der Application Server in Release 2 und 3 anfällig, wenn die damit vertriebene Version des HTTPD 2.0 installiert wurde. Oracle empfiehlt allen Kunden, ihre Software so schnell wie möglich zu aktualisieren. Details erläutert eine Seite im Support-Portal.

Der Fehler ermöglicht es Angreifern, einen Webserver per Denial-of-Service-Attacke lahmzulegen. Zu seiner Behebung sind jedoch nicht nur Korrekturen im Server selbst nötig: Die IETF erwägt zudem eine Änderung in HTTP. (ck)