Wie gestern bekannt wurde, existiert im aktuellen Apache-Webserver eine Sicherheitslücke, die es einem einzelnen Rechner ermöglicht, den Webserver in die Knie zu zwingen, so dass dieser nicht mehr arbeitet. Ursache scheint ein Fehler in der Bearbeitung einer GET-Anfrage zu sein, bei dem der Browser nur bestimmte Speicherbereiche der besuchten Seite abruft.
Ein fertiges Programm, um einen Rechner anzugreifen, existiert schon zum Download im Internet.
Was bedeutet das?
Für einen Seitenbetreiber bedeutet dies, dass jeder, ob böswilliger Angreifer oder „Spaßvogel“, die Seite mit einem Klick abschalten kann. Ihre Webseite, Ihr Web-Shop etc. sind dann nicht mehr erreichbar. Hierzu werden keine Bot-Netze oder die berüchtigten DDoS-Angriffe benötigt: Der einfache PC an einem DSL-Anschluss reicht aus.
Abhilfe:
Eine fehlerbereinigte Apache-Version ist noch nicht veröffentlicht. Um die Ausnutzung des Fehlers zu verhindern kann entweder mit dem Apache-Module „mod_headers“ der kritische Anfrageteil ausgeblendet werden (Parameter: RequestHeader unset Range)
oder mit „mod_rewrite“ und den entsprechenden Regeln wird die kritische Anfrage zu einer unkritischen Anfrage umgeschrieben.
Fragen?
Wenn Sie Fragen haben oder wir Sie regelmäßig über solche Probleme informieren sollen, senden Sie eine Mail an support (at) imagmbh.de oder nehmen Sie mit uns telefonisch Kontakt auf: 0234 / 516990-1000.
Gerne beheben wir das Problem gemeinsam mit Ihrem Administrator bzw. Ihrem Serverbetreiber.