Die Bugfixes für fünf kürzlich bekannt gewordene Sicherheitslücken in der Software sind mit Erscheinen der Version 2.4.10 des Apache-Webservers jetzt auch allgemein verfügbar. Eine Lücke, die bis jetzt nur in der Entwicklungsversion von Apache geschlossenen wurde, kann es unter bestimmten Umständen Angreifern erlauben, auf dem Server Schadcode auszuführen (CVE-2014-0226). Die anderen Lücken können ausgenutzt werden, um den Webserver zum Absturz oder zum Stillstand zu bringen.

Die Apache-Entwickler haben in ihrer Software des weiteren eine ganze Reihe von kleineren Fehlern behoben. Im Changelog für die Version 2.4.10 findet sich beim Apache-Projekt eine komplette Liste. Neue Funktionen gibt es ebenfalls, unter anderem erlaubt mod_rewrite mehr Kontrolle über die Anwendung von Rewrite-Regeln und das Proxy-Modul unterstützt nun Unix Domain Sockets.

Die Sicherheitslücken wurden in den meisten Versionen der 2.4.x-Familie des Webservers gestopft und die ersten Linux-Distributionen haben damit begonnen, die Fixes auf ältere Versionen des Servers und ihre 2.4-Pakete zu portieren. Red Hat stellt aktualisierte Pakete für Red Hat Enterprise Linux (RHEL) 5, 6 und 7 bereit, da die Lücken dort als "wichtig" eingeschätzt werden und Fedora arbeitet auch bereits an Updates. Nicht betroffen scheint die in Debian Stable verwendete Version von Apache (2.2.22) zu sein. Ubuntu reagierte bisher noch nicht.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE