Apache: Zero Day-Lücke lässt den Server sehr sensible Daten leaken
Der meistgenutzte Webserver der Welt hat mit einem gravierenden Sicherheitsproblem zu kämpfen. Eine Zero-Day-Schwachstelle in Apache sollte von allen Nutzern der Software umgehend gepatcht werden, um mögliche gravierende Folgen zu verhindern.
Der Bug, der unter der Kennung CVE-2021-41773 in die Security-Datenbanken einging, betrifft die Apache-Version 2.4.49 und könnte auch in früheren Fassungen des Servers auftreten. In der Software steckt ein Fehler, durch den die Pfad-Navigation in einem URL nicht mehr ausreichend geprüft und im Zweifelsfall abgefangen wird, um Nutzern von Außen den Zugang zu bestimmten Bereichen eines System zu verwehren.
Grundsätzlich ist es möglich, dass mit entsprechenden Angaben im URL nicht nur tiefer in eine Verzeichnisstruktur hinein navigiert werden kann. Es ist auch möglich, sich weiter in Richtung der Wurzel zu hangeln. Dadurch kann man letztlich auch in Bereiche des Dateisystems vordringen, deren Inhalte auf keinen Fall durch den Webserver nach außen geleitet werden sollten.
Durch den Bug wurden aber nun trotz richtiger Einstellungen Verzeichnisse zugänglich, die sehr sensible Informationen nach außen dringen lassen können. Ein erster Anlaufpunkt für Angreifer dürften beispielsweise CGI-Verzeichnisse sein, in denen Code-Dateien auffindbar sind, in denen unter anderem auch Passwörter zu Webservices oder Datenbanken enthalten sind. Es kann aber auch noch tiefer ins System gehen, so dass Unbefugte Zugang zu wichtigen Inhalten des zugrundeliegenden Betriebssystems bekommen. Betreiber eines Apache-Servers sollten dafür sorgen, dass ihre Software auf den Versions-Stand 2.4.50 aktualisiert wird. Denn in dieser Fassung ist der Fehler behoben.
Siehe auch:
Grundsätzlich ist es möglich, dass mit entsprechenden Angaben im URL nicht nur tiefer in eine Verzeichnisstruktur hinein navigiert werden kann. Es ist auch möglich, sich weiter in Richtung der Wurzel zu hangeln. Dadurch kann man letztlich auch in Bereiche des Dateisystems vordringen, deren Inhalte auf keinen Fall durch den Webserver nach außen geleitet werden sollten.
Gravierendes Informations-Leck
Für gewöhnlich prüft Apache die eingehenden Anfragen und gleicht sie mit den in den Konfigurations-Dateien angegebenen Rechten ab. Dies ist nötig, da eine komplette Sperre manchmal eben auch nicht gewünscht ist und in Webanwendungen zu komplizierteren Konstrukten führen würde, die ihrerseits wieder fehleranfällig sind.Durch den Bug wurden aber nun trotz richtiger Einstellungen Verzeichnisse zugänglich, die sehr sensible Informationen nach außen dringen lassen können. Ein erster Anlaufpunkt für Angreifer dürften beispielsweise CGI-Verzeichnisse sein, in denen Code-Dateien auffindbar sind, in denen unter anderem auch Passwörter zu Webservices oder Datenbanken enthalten sind. Es kann aber auch noch tiefer ins System gehen, so dass Unbefugte Zugang zu wichtigen Inhalten des zugrundeliegenden Betriebssystems bekommen. Betreiber eines Apache-Servers sollten dafür sorgen, dass ihre Software auf den Versions-Stand 2.4.50 aktualisiert wird. Denn in dieser Fassung ist der Fehler behoben.
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen