[English]In Apache Webservern wurden eine 0-day Schwachstelle (CVE-2021-41773) und eine weitere Schwachstelle öffentlich, die bereits aktiv in freier Wildbahn ausgenutzt wird. Die Apache Software Foundation (ASF) hat Sicherheitsupdates zum Schließen der neuen Sicherheitslücken veröffentlicht. Eine Aktualisierung der Apache-Installationen durch die betreffenden Patches ist dringend erforderlich. Ergänzung: Der erste Patch war unvollständig, es wurde ein Fix nachgeschoben.
Anzeige
Sicherheitsforscher Kevin Beaumont weist in nachfolgendem Tweet darauf hin, dass die neu aufgedeckte Path Traversal-Schwachstelle (CVE-2021-41773) in Apache 2.4.49 bereits im Jahr 2000 als Unicode-Schwachstelle auftauchte.
Von Ash Daulton und dem cPanel Security Team wurden bereits Angriffe, die diesen Fehler ausnutzen, entdeckt. Darauf meldeten diese das Problem an das Apache-Team.
Die Apache Software Foundation hat diesen Sicherheitshinweis zu Apache 2.4-Sicherheitslücken veröffentlicht. Die Path Traversal-Schwachstelle (CVE-2021-41773) ist nur in Apache 2.4.49 vorhanden und wurde in der Version 2.4.50 beseitigt. "Ein Angreifer könnte einen Path Traversal-Angriff nutzen, um URLs auf Dateien außerhalb des erwarteten Dokumentstamms zu verweisen", schreibt die Apache Software Foundation im Changelog des Apache HTTP Server 2.4.50. "Wenn Dateien außerhalb des Dokumentenstamms nicht durch 'require all denied' geschützt sind, können diese Anfragen erfolgreich sein. Außerdem könnte dieser Fehler den Quellcode von interpretierten Dateien wie CGI-Skripten preisgeben" heißt es weiter.
Anzeige
The Hacker News weist in obigem Tweet und in diesem Beitrag auf die Schwachstellen hin. Ein weiterer Beitrag mit einigen Informationen findet sich bei The Record Media. Inzwischen haben Sicherheitsforscher mehrere Proof-of-Concept-Exploits auf Twitter gepostet, die im betreffenden Artikel verlinkt sind.
Ergänzung: Da der erste Patch unvollständig war, hat die Apache Foundation noch ein Update nachgeschoben. Bleeping Computer hat hier einen Artikel dazu veröffentlicht.
Anzeige
Es gibt mittlerweile Version 2.4.51, weil in 2.4.50 der Fix nicht vollständig war.