secure one

Die im Apache HTTP-Server gefundenen Schwachstellen lassen sich für Enthüllung sensibler Daten und DoS-Angriffe ausnutzen. Durch ein speziell manipuliertes Cookie könnte sich der Server zum Absturz bringen lassen. Schuld ist ein Fehler bei der Behandlung von "%{cookiename}C".

 

Diese Sicherheitslücke ist für die Versionen 2.2.17, 2.2.18, 2.219, 2.2.20 und 2.2.21 bestätigt.

Der zweite Fehler liegt in der Standard-Antwort für den Status-Code 400. Wenn kein eigenes Fehler-Dokument konfiguriert ist, könnten sich "httpOnly"-Cookies enthüllen lassen. Diese Lücke ist für die Versionen 2.2.0, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.8, 2.2.9, 2.2.10, 2.2.11, 2.2.12, 2.2.13, 2.2.14, 2.2.15, 2.2.16, 2.2.17, 2.2.18, 2.2.19, 2.2.20 und 2.2.21 bestätigt.