Apache Server Update Frage

[Wotan]

Hallo an alle

ich habe mir vor einer weile ein Apache Server gemietet (für 2 Jahre).
Habe dann mit HTML und CSS eine Internet-Seite erstellt und hochgeladen.
Aus Sicherheitsgründen habe ich dann die Seite mit "Acunetix Web Vulnerability scaner"
gescannt und mitbekommen das es mehrere Schwerwigende Sicherhätsmängel gibt, da die
Apache Server Version: 1.3.29 ist.
Zugriff habe ich auf den CPanel und nutze zz. keine CMS.
Da ich mich auf den Gebiet noch nicht gut auskenne wollt ich wissen, ob
es möglich ist da selbst ein Update vorzunehemen oder was es für Alternativen gibt.

MfG
Wotan

 

[Chakky]

Updaten kannst du nur wenn du Zugriff auf die Shell hast (also direkt auf die Serverdateien) ich nehme mal an da du das gemietet hast, hast du kein direkten Zugriff. Ich könnte mir vorstellen das du im Controlpanel eine auswahl hast welche Serverversion genutzt werden soll oder zumindestens eine Supportanfrage stellen kannst ob sie dir den Server updaten.

 

[xeno]

Die Version die da läuft ist vom 24. Oktober 2003, also schon mehr als alt. Und ungesehen würde ich sagen, daß bis zur aktuellen Version aus der 1.3er Reihe (1.3.42 vom 2. Februar 2010) einige Sicherheitsupdates eingeflossen sind.

Daher solltest du beim Hoster in der Tat mal nachfragen, ob die da nicht mal nachbessern wollen.

 

[Wotan]

Danke an alle für die schnelle Antwort,
habe den Support geschrieben und auch gleich Antwort erhalten:

"We are using one of the most popular and stable versions of Apache - 1.3.29. No matter it appears to be old, it is still one of the best releases with no vulnerabilities, so please rest assured that your website is safe. [...]"

Aber der Acunetix Scanner sagt was anderes:"Apache Mod_Rewrite Off-By-One Buffer Overflow Vulnerability
Severity High
Type Configuration
Reported by module Version check
[...]
Exim Illegal IPv6 Address and SPA Authentication Buffer Overflow"

 

[throjan]

ich habe mir vor einer weile ein Apache Server gemietet (für 2 Jahre).
Habe dann mit HTML und CSS eine Internet-Seite erstellt und hochgeladen.

Du bist Dir sicher, dafür gleich einen ganzen Server zu benötigen? Siehe auch Überlegungen und Hinweise bevor Du einen Rootserver mietest - linuxforen.de -- User helfen Usern und serverzeit.de - Schritt für Schritt zum eigenen Server - "Admins haften für ihre Server"

 

[bitmuncher]

Hier scheint es sich ja um einen managed Server zu handeln, wenn der Support mit solchen Antworten reagiert. In der 1.3.29 sehe ich auch nicht unbedingt ein Problem. Kenne genug Server die damit seit Jahren ungehackt laufen. Nichtsdestotrotz hängt die Sicherheit beim Apache auch stark an seiner Config und die ist bei einer Verwaltung mit CPanel ziemlich sicher nicht gerade auf Sicherheit optimiert. Gerade Dinge wie Unterstützung veralteter Verschlüsselungen bei HTTPS u.ä. schaltet CPanel nicht aus und auch mod_security wird bei vielen Hostern nicht unterstützt um eine zusätzliche Absicherung für seine Website/Webapp nutzen zu können.

 

[Cyberm@ster]

Ich habe keine Ahnung was du bezahlst, aber unter Umständen ist es interssant dich nach anderen Angeboten umzusehen. Wenn du nur ne Website betreiben willst brauchst du keinen Managed Server, ein einfaches Hosting Paket reicht meistens. Ich bin seit geraumer Zeit zufriedener Kunde bei OVH; 1&1 könnte auch ne Alternative sein. Je nachdem welche Anforderungen du hast wirst du auch mit einem der vielen Gratisangebote glücklich.