http://www.chip.de/news/Apache-Schwere-Luecke-im-populaersten-Webserver_71050638.html

Da das Apache-Projekt bereits am 30. Mai über die Lücke informiert wurde, sind für Apache 2.2 und 2.4 bereits Updates verfügbar.

Da hat Chip heftige Fieberphantasien!

2014-07-18T05:12:50 bianca

Allerdings suche ich vergeblich nach diesem erwähnten Update für die Version 2.2.

In 2.2 sehe ich das keine Lücke. Siehe Apaches Meldung: https://httpd.apache.org/security/vulnerabilities_...

Die Lücken sind nur in 2.4 drin! Siehe Apaches Meldung: https://httpd.apache.org/security/vulnerabilities_... und die des CERT-Bund https://www.cert-bund.de/advisoryshort/CB-K14-0883

Es gibt noch keine gepatchte Release aber im Sourcecode ist der Patch schon drin. Siehe SVN http://svn.apache.org/viewvc?view=revision&revisio...

Anscheind ist es jetzt die 2.4-10dev veröffentlicht.

2014-07-18T05:12:50 bianca

Frage 2: Wenn ich mod_status nicht nutze (mit Lattenzaun auskommentiert) muss ich mir dann überhaupt Gedanken machen?

Die Lücke ist nur ausnutzbar, wenn auf /server-status im Netzwerk oder vom Internet zugreifbar.

Editiert von GwenDragon: Zitate hinzugefügt; Hinweise zu Apaches Meldungen
Last edited: 2014-07-18 16:01:18 +0200 (CEST)