Neue Apache Webserver-Schwachstelle CVE-2019-0211

Publiziert am 4. April 2019 von Günter Born

Im Code des Apache Webservers (HTTP Server 2.4.17 – 2.4.38) gibt es einen Schwachstelle, die die Sicherheit von Shared Web Hosts gefährdet. Betreiber eines solchen Servers sollten das Produkt auf die Version 2.4.39 aktualisieren.

Anzeige

Der Apache Webserver ist recht populär und wird für 40% der gehosteten Webseiten eingesetzt. Mark J. Cox, eines der Gründungsmitglieder der Apache Software Foundation und des OpenSSL-Projekts, hat heute einen Tweet veröffentlicht, der die Benutzer über einen kürzlich entdeckten wichtigen Fehler in der Apache HTTP Server-Software informiert.

Die Schwachstelle CVE-2019-0211  wurde von Charles Fol, einem Sicherheitsingenieur bei Ambionics Security Company, entdeckt und von den Apache-Entwicklern in der neuesten Version 2.4.39 ihrer heute veröffentlichten Software gepatcht. Fol hat in einem Tweet eine Beschreibung und ein Proof of Concept angekündigt.

Der Fehler betrifft die Apache HTTP Server Versionen 2.4.17 bis 2.4.38 und ermöglicht es jedem weniger privilegierten Benutzer beliebigen Code mit root-Rechten auf dem Zielserver auszuführen. Es gibt eine Sicherheitswarnung (Advisory) zu CVE-2019-0211, der die Details beschreibt:

In Apache HTTP Server 2.4 releases 2.4.17 to 2.4.38, with MPM event, worker or prefork, code executing in less-privileged child processes or threads (including scripts executed by an in-process scripting interpreter) could execute arbitrary code with the privileges of the parent process (usually root) by manipulating the scoreboard. Non-Unix systems are not affected.

Die Details sind in der Sicherheitswarnung nachlesbar. Betreiber des Apache Webservers sollten diesen daher unverzüglich auf die Version 2.4.39 aktualisieren. In der Sicherheitswarnung werden weitere geschlossene Bugs beschrieben. The Hacker News hat einen Artikel mit Details veröffentlicht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.