Die Telekom hilft Community zieht um und ist bis zum 8. Januar 2025 nur eingeschränkt zugänglich.
EOL/End of Life Software Apache/2.0.64 als Webserver?
vor 10 Jahren
Hallo,
nachdem ich weiterhin verzweifelt bin warum so einfache Dinge wie WWW-Authenticate auf dem Telekom Webspace nicht gehen nun meine Frage und ggf. die Lösung:
Ist es richtig das als Webserver-Software das (mittlerweile doch völlig veraltete) Produkt Apache/2.0.64 läuft, welches bereits seit 2010 nicht mehr von Apache gewartet wird und seit July 9, 2013 den EOL/ End of Life Status hat? Uns somit auch keine Sicherheitsupdates mehr erfährt?
Sollte es so sein erklärt das natürlich warum das WWW-Authenticate nicht geht, das ist in Apache/2.0 nämlich noch nicht implementiert (wobei man sagen muss das der Apache 2.0 auch aus dem Jahre 2000 ist).
Da ja gerade die Umstellung von der Telekom Webpage auf das neue Homepage-Center war, warum wird dann so eine alte Serversoftware (die nicht mehr vom Hersteller gepflegt wird) genutzt?
Hätte man das gewusst wäre es im Zuge der Umstellung als Kunde ohne nun folgende Doppelumstellung leicht gewesen gleich einen aktuelleren Hosting-Anbieter zu suchen, der auch solche essentiellen Dinge wie .htaccess, änderbarer Dateirechte usw. beherrscht.
Das nicht vorhandene .htaccess macht nun im übrigen Sinn, das es im Apache 2.0.64 genau dort eine Sicherheitslücke gibt. Allein schon deswegen wäre hier ein Update angeraten.
https://www.bitblokes.de/2013/07/apache-2-0-65-unterstutzung-fur-apache-webserver-2-0-ist-damit-eingestellt/
Grüße,
Dirk Marklewitz
nachdem ich weiterhin verzweifelt bin warum so einfache Dinge wie WWW-Authenticate auf dem Telekom Webspace nicht gehen nun meine Frage und ggf. die Lösung:
Ist es richtig das als Webserver-Software das (mittlerweile doch völlig veraltete) Produkt Apache/2.0.64 läuft, welches bereits seit 2010 nicht mehr von Apache gewartet wird und seit July 9, 2013 den EOL/ End of Life Status hat? Uns somit auch keine Sicherheitsupdates mehr erfährt?
Sollte es so sein erklärt das natürlich warum das WWW-Authenticate nicht geht, das ist in Apache/2.0 nämlich noch nicht implementiert (wobei man sagen muss das der Apache 2.0 auch aus dem Jahre 2000 ist).
Da ja gerade die Umstellung von der Telekom Webpage auf das neue Homepage-Center war, warum wird dann so eine alte Serversoftware (die nicht mehr vom Hersteller gepflegt wird) genutzt?
Hätte man das gewusst wäre es im Zuge der Umstellung als Kunde ohne nun folgende Doppelumstellung leicht gewesen gleich einen aktuelleren Hosting-Anbieter zu suchen, der auch solche essentiellen Dinge wie .htaccess, änderbarer Dateirechte usw. beherrscht.
Das nicht vorhandene .htaccess macht nun im übrigen Sinn, das es im Apache 2.0.64 genau dort eine Sicherheitslücke gibt. Allein schon deswegen wäre hier ein Update angeraten.
https://www.bitblokes.de/2013/07/apache-2-0-65-unterstutzung-fur-apache-webserver-2-0-ist-damit-eingestellt/
Grüße,
Dirk Marklewitz
Hinweis:
Dieser Beitrag wurde geschlossen.
Hinweis:
Dieser Beitrag ist nicht mehr für Antworten oder Kommentare geöffnet und ist nicht mehr für die Mitglieder der Community sichtbar.
1998
0
Das könnte Ihnen auch weiterhelfen
60
0
2
vor 8 Jahren
1468
0
1
Gelöst
1938
0
1
vor 8 Monaten
233
0
5
vor 3 Jahren
900
0
1
Telekom hilft Team
vor 10 Jahren
ich habe Ihre Anfrage umgehend an die zuständige Fachabteilung weiter geleitet.
Viele Grüße,
Stephie
0
Telekom hilft Team
vor 10 Jahren
Hallo Dirk,
wir haben folgende Rückmeldung zu unseren Apache Server erhalten:
"Bei der Entwicklung der heute von uns genutzten Plattform wurden diverse Modifikationen an der Apache-Software vorgenommen, um den konzeptionellen Ansprüchen gerecht zu werden. Aufgrund dieser Modifikationen ist es uns leider nicht ohne Weiteres möglich, auf die Version 2.2.x oder gar 2.4.x zu wechseln.
Sicherheitsrelevante Bedenken gibt es dennoch nicht. Bei bekannt werden neuer Sicherheitslücken wird geprüft, ob diese unsere Plattform angreifbar macht und entsprechende Modifikationen in der Software vorgenommen. Im übrigen stellen viele Sicherheitslücken für uns gar keine Bedrohung dar, da die betreffenden Module nicht genutzt werden (z.B.: mod_rewrite, mod_setenvif, mod_autoindex, mod_ssl u.v.m.).
Das Feature WWW-Authenticate ist laut Fachseite bereits im Apache 1.0 verfügbar gewesen, setzt aber die Nutzung von htaccess vorraus. htaccess ist wiederum aus den bekannten und schon viel diskutierten Gründen deaktiviert. Daher kann WWW-Authenticate nicht genutzt werden.
Ein Passwortschutz, ist dennoch möglich, dazu kann der Dateimanager genutzt werden, oder wenn weitere Benutzer angelegt werden sollen, mit Hilfe von .access.
In den Verzeichnissen, die Sie sperren, wird ein Datei ".access" angelegt. Diese Datei können Sie mit einem FTP-Programm lokal abspeichern und mit Notepad oder einem Editor bearbeiten. So ist es möglich, weitere Benutzer für das geschützte Verzeichnis anzulegen. Hierbei gehen Sie analog dem Verzeichnisschutz mit htaccess ( http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz ) vor.
Langfristig werden wir natürlich neue Software auf unserer Plattform benötigen um den zukünftigen Anforderungen des Netzes gerecht zu werden. Im Zuge dessen wird ein Wechsel zu konzeptionell besseren Alternativen wie z.B. Nginx angestrebt. Hierzu gibt es aber noch keine konkreten Pläne."
Gruß,
Ingo
*EDIT*
Alten Link entfernt und stattdessen kruze Erläuterung mit neuem Link eingefügt.
0