Webserver :Security-Update für Apache-Webserver 2.4
18.04.2012

Das erste Update für den Apache-Webserver 2.4 schließt eine Sicherheitslücke und behebt weitere kleinere Fehler.

Die Veröffentlichung des Apache HTTP Servers 2.4.2 behebt eine Sicherheitslücke. Diese führte über einen unsicheren Gebrauch des LD_LIBRARY_PATH dazu, dass Angreifer das Arbeitsverzeichnis nach Dynamic Shared Objects (DSO) durchsuchen konnten. Mit Version 2.4 können Apache Module als separate DSOs kompiliert werden.

Neben der sicherheitskritischen Lücke behebt die aktuelle Version des Apache Webservers auch einige weitere Fehler, die beispielsweise im SSL-Modul auftraten. Außerdem wurde ein Kompilierfehler auf Gnu Hurd behoben. Die Entwickler haben auch die für die Konfiguration notwendigen Bereiche überarbeitet. Jetzt wird zum Beispiel auf die Dokumentation des Entwicklungszweiges 2.4 verlinkt, statt wie bisher auf den Zweig “trunk“.

Gegenüber Apache 2.2 können im aktuellen Entwicklungszweig mehrere MPMs (Multi-Processing-Module) als ladbare Module kompiliert und zur Laufzeit konfiguriert werden. Eine detaillierte Liste aller Änderungen bietet das Changelog. Die aktuelle Version steht auf den Servern des Apache-Projektes zum Download bereit.

Quelle: golem.de (Sebastian Grüner - 17.04.2012)