De nu ontdekte kwetsbaarheid is een variant op het gat dat begin oktober is gedicht. Beide lekken maken het onder bepaalde omstandigheden mogelijk om op een Apache-server binnen te dringen. Dit geldt niet voor alle installaties van de open source-webserver.

Proof-of-concept code

Het gaat om een fout in de configuratie voor de 'reverse proxy mode', waardoor kwaadwillenden toegang kunnen krijgen tot firewalls, routers, databases en webservers zelf. Die apparaten en servers bevinden zich in de zogeheten 'demilitarized zone' (DMZ). Het nieuwe gat is ontdekt door security-expert Prutha Parikh van patchbedrijf Qualys.

Zij heeft deze kwetsbaarheid ontdekt toen ze het lek van vorige maand onderzocht. Haar ontdekking is wel geïnterpreteerd als een nieuwe kwetsbaarheid en heeft dan ook een eigen CVE-nummer (CVE-2011-4317). Parikh zet het nieuwe lek uiteen in een blogpost, waarbij ze ook proof-of-concept code deelt.

Workaround

De Qualys-expert merkt daarbij nog op dat het gat is af te dekken door de configuratie voor de reverse proxy aan te passen. De kwetsbaarheid schuilt namelijk in een incorrecte instelling van de proxy-regels. Het correct instellen daarvan voorkomt misbruik van dit gat.

Een mogelijke fix is vorige week al geopperd in de Apache-mailinglijsten, meldt de Britse ict-nieuwssite The Register. Die oplossing van Red Hat-ontwikkelaar Joe Orton moet nog getest worden. Hij stelt dat de fix van vorige maand verbeterd kan worden, maar dat zijn voorstel een eenvoudigere oplossing is.