Sicherheitsupdates gegen den „Apache Killer“

Die Apache-Versionen 1.3.x, 2.0.x bis 2.0.64 und 2.2.x bis 2.2.19 lassen sich über manipulierte HTTP-Header zum Absturz bringen. Die Gefahr ist nicht nur theoretisch vorhanden. Es ist ein Tool mit dem Namen „Apache Killer“ im Umlauf, das die Schwachstelle ausnutzt. Dabei handelt es sich um ein einfaches Perl-Script, das beim Apache Server für stark anwachsenden Speicherverbrauch sorgen kann. Das Betriebssystem lagert dann Speicher in den Festplatten-Cache aus. Dieser läuft voll und das System wird instabil.

Apache hat das Problem inzwischen behoben, und ein Update auf die Version 2.2.20 herausgebracht. Durch den Fix wird der maximale Speicherverbrauch bei HTTP-Anfragen reduziert.

Die meisten Linux-Distributionen bieten ebenfalls Updates an, mit denen der Fehler behoben wird. Debian beispielsweise stellt für Lenny die Version 2.2.9-10+lenny11 bereit. Für Squeeze gibt es die Version 2.2.16-6+squeeze3, für Wheezy und für Sid 2.2.19-3. Das Update sollte wegen der konkreten Bedrohung möglichst schnell durchgeführt werden.

Auch bei Mac OS X kommt der Apache Server zum Einsatz. Hier müsste Apple selbst ein Update bereitstellen, was aber bisher noch nicht verfügbar ist.

Nach den Statistiken von Netcraft ist der Apache Web-Server mit einem Marktanteil von etwa 65 Prozent Marktführer. Apache ist auf vielen Linux-Servern installiert, wie sie von Hostern wie Strato oder 1&1 angeboten werden.