Apache-Loch öffnet Firmen-IT

Die Lücke betrifft Apache-Installationen, die im Reverse-Proxy-Modus betrieben werden. Diese Art der Konfiguration wird etwa für die  Lastverteilung, das Zwischenspeichern von Webinhalten sowie für andere Verfahren verwendet, mit der IT-Ressourcen auf mehrere Server verteilt werden. Sicherheitsexperten von Qualys warnen nun davor, dass Hacker die Server dazu bringen können, unauthorisierte Anfragen auf Zugriff auf interne Ressourcen zu gewären, wenn Appache HTTP zuvor nicht richtig konfiguriert wurde. Das Problem ist nicht neu und wurde im Oktober bereits adressiert sowie mit einem Patch bedacht. Allerdings kommt die Qualys-Forscherin Prutha Parikh nun zum Schluss, dass der Flicken nicht über jeden Zweifel erhaben ist. Dieser könne nämlich umgangen werden, und zwar indem der Uniform Resource Identifier auf eine gewisse Art und Weise gekürzt wird. Parikh hat das Verfahren genaustens dargelegtund die Apache-Entwickler über die Lücke informiert. Diese beraten nun, wie sie dagegen vorgehen wollen. Eine Möglichkeit wäre es, den Patch vom Oktober zu ergänzen, respektive zu verstärken.