{"id":62,"date":"2006-08-02T00:06:17","date_gmt":"2006-08-01T22:06:17","guid":{"rendered":"http:\/\/konstantin.filtschew.de\/blog\/?p=62"},"modified":"2006-08-02T00:06:17","modified_gmt":"2006-08-01T22:06:17","slug":"neue-version-des-apache-webservers-behebt-kritische-sicherheitslucke","status":"publish","type":"post","link":"https:\/\/konstantin.filtschew.de\/blog\/2006\/08\/02\/neue-version-des-apache-webservers-behebt-kritische-sicherheitslucke\/","title":{"rendered":"Neue Version des Apache Webservers behebt kritische Sicherheitsl\u00fccke"},"content":{"rendered":"

Die gemeldete Sicherheitsl\u00fccke in mod_rewrite wurde von den Apache Entwicklern am 28.07.2006 behoben. Gentoo<\/a> und Debian<\/a> stellten Heute aktualisierte Versionen der Pakete zur Verf\u00fcgung, die den Fehler beheben.
\nJedem Administrator wird empfohlen die Version vom Apache Webserver zu aktualisieren, da sich \u00fcber die L\u00fccke eventuell beliebiger Code einschleu\u00dfen und ausf\u00fchren l\u00e4sst. Wer den Webserver selbst compeliert hat, sollte seine Version dringend aktualisieren.<\/p>\n

Die beschriebene Schwachstelle im mod_rewrite-Modul wird m\u00f6glich, wenn der Angreifer den Anfang der URL umschreiben kann und die Flags Forbidden, NoEscape oder Gone nicht gesetzt sind. Durch den Fehler kann ein 1-Byte-Puffer\u00fcberlauf auftreten, \u00fcber den eventuell eingeschleuster Code ausgef\u00fchrt werden kann.<\/p>\n

Dieser Sicherheitsfehler wird als kritisch eingestuft, wenn auch bis jetzt keine Exploits ver\u00f6ffentlicht wurden. Jeder Administrator sollte seine Apache Version aktualisieren!<\/p>\n

Weitere Informationen zu der Meldung:<\/p>\n