Apache httpd Remote Denial Service?

Altenholzer · Feb 27th 2012

Guten Abend,

ich habe von einem Kollegen erfahren das mein Apache wohl gegen Apache httpd Remote Denial Service gefährdet ist,was kann ich dagegen tun?Ich benutze ein Debian 6 mit IspCP, es sollte auf den aktullsten stand sein .

martin\ · Feb 28th 2012

Welche Version des Apachen läuft denn bei dir? Wenn >2.2.20 dann kann dir das egal sein (solang' er damit den memory exhaustion bug meint).

Altenholzer · Feb 28th 2012

Guten Morgen,

laut phpinfo

HTTP Server: Apache/2.2.16 (Debian)

PHP Version: 5.3.3-7+squeeze8 (Zend: 2.3.0)

mein Kollege hat ein Sicherheitsscan ausgeführt und er gab mir halt diesen tipp

KB19 · Feb 28th 2012

Hier sieht man leider nicht welche Debian Version das Paket hat. Das siehst du z.B. mit: aptitude show apache2

Wenn es squeeze6 ist, sollte alles passen. Siehe dazu auch DSA-2405-1 und DSA-2298-2.

MfG Christian

Altenholzer · Feb 28th 2012

ja es ist Debian Squeeze

Code

Paket: apache2
Zustand: Installiert
Automatisch installiert: nein
Version: 2.2.16-6+squeeze6
PrioritÃ¤t: optional
Bereich: net
Verwalter: Debian Apache Maintainers <debian-apache@lists.debian.org>
Unkomprimierte GrÃ¶Ãe: 36,9 k
HÃ¤ngt ab von: apache2-mpm-worker (= 2.2.16-6+squeeze6) | apache2-mpm-prefork (= 2.2.16-6+squeeze6) | apache2-mpm-event (= 2.2.16-6+squeeze6) | apache2-mpm-itk (=
               2.2.16-6+squeeze6), apache2.2-common (= 2.2.16-6+squeeze6)
Bereitgestellt von: apache2-mpm-event, apache2-mpm-itk, apache2-mpm-prefork, apache2-mpm-worker
Beschreibung: Metapaket fÃ¼r den Apache HTTP-Server
 Die Apache Software Foundation hat das Ziel, einen sicheren, effizienten und erweiterbaren HTTP-Server als standardkonforme, quelloffene Software zu programmieren. Das
 Ergebnis war lange die Nummer 1 der Webserver im Internet.




 Er liefert UnterstÃ¼tzung fÃ¼r HTTPS, virtuelles Hosting, CGI, SSI, IPv6, einfache Skript- und Datenbankintegration, Abfrage-/Antwort-Filter, viele flexible
 Authentifikationsschemata und mehr.
Homepage: http://httpd.apache.org/

Display More

also reicht hier immer aus apt-get update und apt-get upgrade auszuführen, so wie ich es immer tue?

KB19 · Feb 28th 2012

Und eventuell apt-get dist-upgrade bei neuen Distributions-Updates, wie erst kürzlich: Debian -- News -- Updated Debian 6.0: 6.0.4 released

MfG Christian

Altenholzer · Feb 28th 2012

ah ja genau ist bei mir aber auch scheinbar aufn neusten stand.

Also brauche ich mir im falle des Apachen keine sorgen machen?

KB19 · Feb 28th 2012

Quote from Altenholzer

Also brauche ich mir im falle des Apachen keine sorgen machen?

Nach meinem Kenntnisstand bzw. den Mailing Listen: Nein

MfG Christian

Altenholzer · Feb 28th 2012

da bedanke ich mich mal für deine Einschätzung und Hilfe.