Mit der Veröffentlichung der neuen Versionen des Apache-Webservers gehören fünf Sicherheitslücken der Vergangenheit an.
Mit der Release 2.2.6 wurden fünf zum Teil schwerwiegende Lücken geschlossen. Vier davon behebt für den Zweig 2.0 die ebenfalls veröffentlichte Version 2.0.61. Laut den Release-Notes der Apache-Foundation wurden Schwachstellen in den Modulen “mod_proxy” und “mod_cache” behoben. Durch sie konnten Angreifer den Server mit gezielten Anfragen über eine Denial-of-Service-Attacke (DoS) zum Absturz bringen.
Auch ein von Stefan Esser – Initiator des “Month-of-PHP-Bugs” – gefundener Cross-Site-Scripting-Fehler ist nun Geschichte. Der vierte Fehler, der beide Versionen betraf, resultierte in einer DoS-Lücke im Prefork-MPM-Modul. Lediglich die 2.2er Reihe enthielt den Fehler im Modul “mod_mem_cache”. Dieser offenbarte Angreifern unter Umständen die Header früherer Verbindungen.
Die Entwickler empfehlen allen Server-Admins schnellstmöglich auf die neuen Versionen zu aktualisieren. Diese stehen wie gewohnt auf den Mirror-Servern des Projekts zum Download bereit. Neben den geschlossenen Sicherheitslücken enthalten sie auch eine Reihe von Bugfixes.
