Software::Security
Sicherheitslücke in Apache
Die Art und Weise, wie eine neue Sicherheitslücke in Apache von der Firma ISS publik gemacht wurde, wurde von Sicherheitsexperten aus aller Welt verurteilt.
Die Sicherheitslücke besteht in einem Pufferüberlauf, der durch eine geeignet codierte Anfrage an den Server entstehen kann. Die Wirkung ist je nach Plattform unterschiedlich: ein Absturz von Apache oder Ausführen beliebigen Codes unter dem Apache-Account, der unter UNIX-Systemen aber meist keine Rechte außerhalb des Apache-Verzeichnisses hat. Betroffen sind alle Apache-Versionen auf allen Plattformen. Das Apache-Team hat inzwischen reagiert und das Problem selbst publiziert und die neuen Versionen 1.3.26 und 2.0.39 freigegeben. Apache 1.2.x, der ebenfalls betroffen ist, wird nicht mehr unterstützt.
Kritik wurde an der Firma ISS (Internet Security Systems) laut, weil sie die Ankündigung veröffentlichte, ohne dem Hersteller, also der Apache Software Foundation, Zeit für eine Behebung des Problems zu geben. Üblicherweise werden hierfür mindestens 4 Wochen vorgesehen. Zudem gab ISS eine Korrektur heraus, die sich als falsch und unvollständig erwies. Der Grund für die frühe Veröffentlichung von ISS, daß man den Crackern zuvorkommen wollte, und zudem keine für Apache zuständige Firma existiere, ist mehr als fadenscheinig. Tatsächlich dürfte der Grund in Streitigkeiten zwischen ISS und Red Hat liegen. Angeblich hat Red Hat Sicherheits-Updates veröffentlicht, ohne ISS gebührend zu erwähnen.
Während der korrigierte Quellcode bereits zur Verfügung steht, sind noch so gut wie keine Binärpakete von Distributoren vorhanden. Die Sicherheitswarnung von CERT sammelt diese. Insbesondere Windows-User, die in der Regel keinen C-Compiler haben, können derzeit noch keinen Update vornehmen.
