Die gemeldete Sicherheitslücke in mod_rewrite wurde von den Apache Entwicklern am 28.07.2006 behoben. Gentoo und Debian stellten Heute aktualisierte Versionen der Pakete zur Verfügung, die den Fehler beheben.
Jedem Administrator wird empfohlen die Version vom Apache Webserver zu aktualisieren, da sich über die Lücke eventuell beliebiger Code einschleußen und ausführen lässt. Wer den Webserver selbst compeliert hat, sollte seine Version dringend aktualisieren.
Die beschriebene Schwachstelle im mod_rewrite-Modul wird möglich, wenn der Angreifer den Anfang der URL umschreiben kann und die Flags Forbidden, NoEscape oder Gone nicht gesetzt sind. Durch den Fehler kann ein 1-Byte-Pufferüberlauf auftreten, über den eventuell eingeschleuster Code ausgeführt werden kann.
Dieser Sicherheitsfehler wird als kritisch eingestuft, wenn auch bis jetzt keine Exploits veröffentlicht wurden. Jeder Administrator sollte seine Apache Version aktualisieren!
Weitere Informationen zu der Meldung: