SSL-Modul im Apache angreifbar

Vor einigen Tagen wurde bekannt, dass der Verschlüsselungsalgorithmus ‘MD5’ gehackt wurde. Dieser wird auch von dem Open-Source-Webserver Apache eingesetzt um den Source Code des SSL-Moduls vor unerlaubten Veränderungen zu schützen. Jetzt ist erneut ein Fehler im SSL-Modul des ‘Apache Webserver 2.0’ aufgetaucht. Darüber kann mit einer Anfrage eine Endlos-Schleife provoziert werden. Diese führt zwar nicht zum Absturz, doch belastet dieses Loop die Ressourcen des Webservers und führt unter Umständen dazu, dass der Server nicht mehr antwortet.
Bekommt der Server ein abgelaufenes Zertifikat über einen SSL-vhost, dann verweigert der Server die SSL-Verbindung, kommt dabei aber in ein Loop. Ein Programmteil erkennt, dass die Verbindung geschlossen wurde und gibt dabei nur eine ‘0’ aus. Der ‘Caller’ bekommt jedoch ‘APR-SUCCES’ zurück, somit wird die Anfrage von neuem gestartet. Im Ergebnis ändert sich dagegen im Buffer nichts, so dass die Ausgabewerte immer gleich bleiben und sich der Prozess immer wiederholt. Neue Anfragen werden dadurch zwecklos.

Die Entwickler der Apache-Foundation haben nach eigenen Angaben das Problem bereits behoben. Der Distributor Red Hat hat bereits ein Patch für das Problem auf Enterprise- und Desktopprodukten veröffentlicht, mit dem auch andere Fehler im Apache beseitig werden. Weitere Linux-Vetriebe haben bislang noch kein entsprechende Aktualisierung vorgelegt.