Sicherheitslöcher in alten Apache-Versionen aufgedeckt
02.06.2003

Nachdem vergangene Woche ein neuer Release von Apache zu Verfügung gestellt wurde, werden nun Schwachstellen in den Vorgängerversionen bekannt gegeben. Sie wurde bereits im März entdeckt, jedoch zunächst nur der Apache Software Foundation mitgeteilt. Diese hatte ausreichend Gelegenheit, den Fehler zu beheben und eine neue Apache-Version 2.0.46 bereitzustellen. Schon vorher wurde über einen Fehler im Modul mod_dav berichtet, der nicht näher beschrieben wurde und in Version 2.0.45 eigentlich behoben sein sollte.

Ursache der Schwachstelle ist ein Buffer Overflow in der Apache-Portable-Runtime-Bibliothek, die Strukturen und Routinen zur einfachen Portierung auf beliebige Betriebssysteme zur Verfügung stellt. Übergibt man dort an eine Funktion einen zu langen String, so stürzt Apache ab. Beliebiger Code könnte prinzipiell auch eingeschleust und ausgeführt werden, ein Exploit existiert aber noch nicht.

Von dem Fehler betroffen sind die Module:


mod_dav
mod_rewrite
mod_ssl
mod_usertrack
mod_alias
mod_dir
mod_imap
mod_speling
mod_proxy

Verwendet man diese Module, so sollte die Apache-Version 2.0.46 installiert werden. Apache 1.3.2x ist nicht betroffen.