Mit einem Marktanteil von rund 37% ist der Apache Webserver wohl der beliebteste Webserver auf dem Markt. Nun aber macht ihm eine Sicherheitslücke im Modul mod_status zu schaffen. Die Webseite Zero Day Initiative hat festgestellt das in allen Apache2 Version diese Sicherheitslücke auftritt. Die Sicherheitslücke tritt im Apache2 Modul mod_status auf. Dieses ist dazu da um Statistiken und Zugriffe zu sammeln.
Apache Sicherheitslücke schon behoben
Seit dem 16.07.2014 ist die Lücke für Apache 2.2 und 2.4 geschlossen und der Sicherheitspatch im Quellcode eingepflegt. Eine recht lange Zeit wenn man bedenkt das Bereits am 30. Mai 2014 die Sicherheitslücke dem Apache-Projekt gemeldet wurde. Das Update dürfte im Laufe des Tages in die Software-Repositories der verschiedenen Distributionen aufgenommen werden. Wer Webserver betreut sollte daher mal nach einem Update schauen und diesen schnellstmöglich einspielen oder das Modul mod_status erst einmal deaktivieren.
Was passiert bei der Sicherheitslücke
Im Statistik-Modul kann unter einer sogenannten Race Condition durch Mehrfach-Anfragen beliebiger fremder Code eingeschleust und per Remote-Verbindung ohne eine Berechtigung ausgeführt werden.