0-day Schwachstelle (CVE-2021-41773) in Apache

Publiziert am 7. Oktober 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]In Apache Webservern wurden eine 0-day Schwachstelle (CVE-2021-41773) und eine weitere Schwachstelle öffentlich, die bereits aktiv in freier Wildbahn ausgenutzt wird. Die Apache Software Foundation (ASF) hat Sicherheitsupdates zum Schließen der neuen Sicherheitslücken veröffentlicht. Eine Aktualisierung der Apache-Installationen durch die betreffenden Patches ist dringend erforderlich. Ergänzung: Der erste Patch war unvollständig, es wurde ein Fix nachgeschoben.

Anzeige

Sicherheitsforscher Kevin Beaumont weist in nachfolgendem Tweet darauf hin, dass die neu aufgedeckte Path Traversal-Schwachstelle (CVE-2021-41773) in Apache 2.4.49 bereits im Jahr 2000 als Unicode-Schwachstelle auftauchte.

CVE-2021-41773 Path Traversal vulnerability in Apache 2.4.49.

Von Ash Daulton und dem cPanel Security Team wurden bereits Angriffe, die diesen Fehler ausnutzen, entdeckt. Darauf meldeten diese das Problem an das Apache-Team.

Die Apache Software Foundation hat diesen Sicherheitshinweis zu Apache 2.4-Sicherheitslücken veröffentlicht. Die Path Traversal-Schwachstelle (CVE-2021-41773) ist nur in Apache 2.4.49 vorhanden und wurde in der Version 2.4.50 beseitigt. "Ein Angreifer könnte einen Path Traversal-Angriff nutzen, um URLs auf Dateien außerhalb des erwarteten Dokumentstamms zu verweisen", schreibt die Apache Software Foundation  im Changelog des Apache HTTP Server 2.4.50. "Wenn Dateien außerhalb des Dokumentenstamms nicht durch 'require all denied' geschützt sind, können diese Anfragen erfolgreich sein. Außerdem könnte dieser Fehler den Quellcode von interpretierten Dateien wie CGI-Skripten preisgeben" heißt es weiter.

CVE-2021-41773 Path Traversal vulnerability in Apache 2.4.49.

The Hacker News weist in obigem Tweet und in diesem Beitrag auf die Schwachstellen hin. Ein weiterer Beitrag mit einigen Informationen findet sich bei The Record Media. Inzwischen haben Sicherheitsforscher mehrere Proof-of-Concept-Exploits auf Twitter gepostet, die im betreffenden Artikel verlinkt sind.

Ergänzung: Da der erste Patch unvollständig war, hat die Apache Foundation noch ein Update nachgeschoben. Bleeping Computer hat hier einen Artikel dazu veröffentlicht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu 0-day Schwachstelle (CVE-2021-41773) in Apache

  1. Andi sagt:
    8. Oktober 2021 um 15:46 Uhr

    Es gibt mittlerweile Version 2.4.51, weil in 2.4.50 der Fix nicht vollständig war.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.