Open Source im professionellen Einsatz

Racket-Server verwundbar, Update empfohlen

09.02.2016

Wer einen Server in der eher exotischen Programmiersprache Racket betreibt, sollte die Software aufgrund einer schwerwiegenden Sicherheitslücke aktualisieren oder zumindest patchen.

119

Zu einem Upgrade auf die Version 6.4 raten die Macher von Racket, einer auf Lisp basierenden Programmiersprache unter LGPL, in einem Blogeintrag . Die Lücke könne dazu genutzt werden, sich die auf dem Server befindlichen Dateien anzuschauen, schreibt ein Entwickler in dem Blog. Sie sei in Version 6.4 gestopft.

Konkret betreffe sie Webserver, die statische Dateien mit Hilfe der Option "#:extra-files-paths" ausliefern und dabei den Standardwert dieser Option verwenden. Über manipulierte URLs lassen sich auch Dateien außerhalb dieses Pfades betrachten. Für Installationen, in denen ein schnelles Upgrade nicht möglich ist, sollten Admins zumindest das Paket "web-server-lib" aktualisieren.

Weitere Details und ein Programm zum Testen, ob die Lücke noch existiert, liefert der Blogpost .

Ähnliche Artikel

comments powered by Disqus