Apache Wurm im Umlauf
 

Ein Wurm ist jetzt im Umlauf der das vor 2 Wochen bekannt gewordene Apache Sicherheitsloch ausnutzt um sich zu verbreiten.

Einer frühen Analyse zu Folge erzeugt der Wurm ein Flood net--eine Ansammlung von kompromittierten Servern die dazu verwendet werden können eine DoS Attacke auf ein Ziel auszurichten.

Derzeit funktioniert der Wurm nur mit FreeBSD Server. Andere Server wie z.b. Linux oder Solaris werden (noch) nicht infiziert sondern stürzen dabei nur ab.

Besonders fatal ist allerdings das ein Grossteil der Server noch immer nicht gepacht ist. Ich kann (Unix) Systemadministratoren den Retina Apache Chunked Scanner von eEye dringest empfehlen. Das Tool kann von http://www.eeye.com/html/Research/To...hechunked.html heruntergeladen werden.

Den Patch gibt es bei:
http://rhn.redhat.com/errata/RHSA-2002-103.html (Redhat)
http://www.ensim.com/support/wpls/index.html (Ensim WEBpplance)
http://www.solarspeed.net/freebies/R...le-1.0.0-2.pkg (Cobalt RaQ 3 & 4)
http://www.mandrakesecure.net/en/adv...2002-039-2.php (Mandrake)
http://www.debian.org/security/2002/dsa-131 bzw. http://packages.debian.org/unstable/web/apache.html (Debian)
http://www.suse.de/de/support/securi...22_apache.html (SuSE)

Falls es (aus irgendwelchen Gründen) nicht möglich ist einen entsprechenden Patch zu installieren gibt es hier - http://www.wcm.at/vb2/showthread.php?s=&threadid=61235 einen Workaround

Das Grauen hat jetzt einen Namen: Scalper

Ein Testscan hat gezeigt dass dieses Exploit nicht sonderlich ernst genommen wird. Ein fast schon erschreckender Anteil der Server ist noch immer verwundbar.

Wer es bisher versämt hat in den letzten Wochen Securitypatches einzuspielen sollte es dringend nachholen. Vor allem da nicht nur Apache gepacht werden muss sondern auch OpenSSH.