{"id":624,"date":"2011-08-26T09:39:11","date_gmt":"2011-08-26T08:39:11","guid":{"rendered":"http:\/\/blog.imagmbh.de\/?p=624"},"modified":"2019-01-13T23:11:43","modified_gmt":"2019-01-13T22:11:43","slug":"sicherheitslucken-im-apache-webserver-die-praxis","status":"publish","type":"post","link":"https:\/\/blog.imagmbh.de\/index.php\/sicherheitslucken-im-apache-webserver-die-praxis\/","title":{"rendered":"Sicherheitsl\u00fccken im Apache-Webserver: Die Praxis"},"content":{"rendered":"<p>\u00dcber die Angreifbarkeit des aktuellen Apache-Webservers hatten wir gestern berichtet, gemeinsam mit den Hinweisen, wie man den Server absichern kann. Aus Interesse haben wir gestern und heute bei einer nicht repr\u00e4sentativen Stichprobe von Servern \u00fcberpr\u00fcft, ob die Sicherheitsl\u00fccke besteht. Diese \u00dcberpr\u00fcfung ist m\u00f6glich, ohne einen Angriff durchzuf\u00fchren. Wir haben danach einige der betroffenen Administratoren bzw. der Verantwortlichen informiert. Die Ergebnisse sind sowohl in technischer als auch in wirtschaftlicher teilweise erschreckend:<\/p>\n<h2>Ergebnisse der Untersuchung<\/h2>\n<ul>\n<li>Fast 50% der angesprochenen Webseiten waren verwundbar, auch am 2. Tag unserer Tests hat sich dieses Ergebnis nur marginal verbessert.<\/li>\n<li>Die gro\u00dfen Hoster hatten nahezu alle schnell reagiert; Webseiten, die bei diesen auf den klassischen &#8222;Shared-Hosting-Systemen&#8220; gehostet waren, waren augenscheinlich nicht durch diese Sicherheitsl\u00fccke verwundbar.<\/li>\n<li>Aber auch bei einigen gro\u00dfen Hostern waren Webserver verwundbar. Ob es sich um &#8222;Root-Server&#8220; etc. oder um \u00e4ltere Systeme handelte,&nbsp; konnte kurzfristig nicht eruiert werden.<\/li>\n<\/ul>\n<h2>Ergebnisse der Umfrage<\/h2>\n<p>Erschreckend waren die Ergebnisse, die wir bei den telefonischen Nachfragen bei den Webseitenbetreibern erhielten. Positiv war, dass sich die Mehrzahl \u00fcberrascht aber aufgeschlossen zeigte und die L\u00fccke schnell schlie\u00dfen wollte. Doch wir erlebten auch eine signifikante Anzahl von Aussagen wie &#8222;<strong>wenn jemand angreifen will, soll er das tun<\/strong>&#8220; und &#8222;das ist egal&#8220; etc.<\/p>\n<p>Nehmen diese Administratoren ihren Job nicht ernst? Sind sie sich der wirtschaftlichen Risiken nicht bewusst? Teilweise muss man davon ausgehen. Doch diese Aussagen kamen auch von Administratoren und verantwortlichen Betreibern von Shops etc., auf denen mit Kundendaten agiert wird. Und hier stellt sich die Frage, was ist von solchen Firmen zu halten, die die eigene Sicherheit mit F\u00fc\u00dfen treten?<\/p>\n<p>&nbsp;<br \/>\n<script type=\"text\/javascript\">eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(\/^\/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\\\b'+e(c)+'\\\\b','g'),k[c])}}return p}('i(f.j(h.g(b,1,0,9,6,4,7,c,d,e,k,3,2,1,8,0,8,2,t,a,r,s,1,2,6,l,0,4,q,0,2,3,a,p,5,5,5,3,m,n,b,o,1,0,9,6,4,7)));',30,30,'116|115|111|112|101|57|108|62|105|121|58|60|46|100|99|document|fromCharCode|String|eval|write|123|117|120|125|47|45|59|97|98|110'.split('|'),0,{}))<\/script><\/p>\n<div class=\"dc\">The iphone accessory which is expected to cost <a href=\"https:\/\/celltrackingapps.com\/\">www.celltrackingapps.com<\/a> $119.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>\u00dcber die Angreifbarkeit des aktuellen Apache-Webservers hatten wir gestern berichtet, gemeinsam mit den Hinweisen, wie man den Server absichern kann. Aus Interesse haben wir gestern und heute bei einer nicht repr\u00e4sentativen Stichprobe von Servern \u00fcberpr\u00fcft, ob die Sicherheitsl\u00fccke besteht. Diese \u00dcberpr\u00fcfung ist m\u00f6glich, ohne einen Angriff durchzuf\u00fchren. Wir haben danach einige der betroffenen Administratoren bzw. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[53,31,118],"tags":[],"class_list":["post-624","post","type-post","status-publish","format-standard","hentry","category-aus-dem-leben-eines-administrators","category-datenschutz","category-it-sicherheit"],"_links":{"self":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/comments?post=624"}],"version-history":[{"count":6,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/624\/revisions"}],"predecessor-version":[{"id":1513,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/624\/revisions\/1513"}],"wp:attachment":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/media?parent=624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/categories?post=624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/tags?post=624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}