Alvorlige sikkerhetshull i webserver

Det er oppdaget to sikkerhetshull i webserverprogramvaren Apache som gjør det mulig for angripere å stoppe tjenesten og muligens også å få systemtilgang.

Ifølge Secunia er det funnet to sårbarheter i webserverprogramvaren Apache.

Den ene sårbarheten kan utnyttes via "mod_dav"-mekanismen (Distributed Authoring and Versioning), men muligens også via andre mekanismer. Utnyttelse kan resultere i et tjenestenekt hos serveren. Ifølge Red Hat Software skal sårbarheten potensielt også muliggjøre eksekvering av vilkårlig kode med webtjenestens rettigheter. Sikkerhetshullet finnes i alle utgaver av Apache med versjonsnummer fra og med 2.0.37 til og med 2.0.45.

    Les også:

Ytterligere informasjon om dette sikkerhetshullet vil først frigis av Apache Software Foundation den 30. mai.

Det andre sikkerhetshullet skyldes ifølge Secunia en feil i "Basic Authentication"-funksjonaliteten og er kun gjeldende i versjonene 2.0.40 til og med 2.0.45 på Unix-plattformene. Hullet kan utnyttes for å skapet en tjenestenektsituasjon, noe som kan få "Basic Authentication" til å feile og ikke komme i gang igjen før webtjenesten startes på nytt.

Utnyttelse forutsetter dog at det benyttes MPM (Multi-Processing Modules) med flere tråder.

For å tette sikkerhetshullene må alle med de gjeldene utgavene oppdatere til versjon 2.0.46 av Apache.

Mer informasjon om sikkerhetshullene finnes på denne siden.

Apache er verdens mest brukte webserverprogramvare.

Til toppen