Apache: Zero Day-Lücke lässt den Server sehr sensible Daten leaken

Der meistgenutzte Webserver der Welt hat mit einem gravierenden Sicherheitsproblem zu kämpfen. Eine Zero-Day-Schwachstelle in Apache sollte von allen Nutzern der Software umgehend gepatcht werden, um mögliche gravierende Folgen zu verhindern.
Sicherheit, Sicherheitslücke, Hacker, Security, Angriff, Hack, Netzwerk, Kriminalität, Linux, Server, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Ausfall, Hackerangriff, Hacking, System, Internetkriminalität, Ddos, Darknet, Hacker Angriffe, Hacker Angriff, Crash, Attack, Ransom, Error, Gehackt, Unix, Administrator, Admin, Serverfarm, Serverrack, Webserver, Serverausfall, Rack, Server Manager
Der Bug, der unter der Kennung CVE-2021-41773 in die Security-Datenbanken einging, betrifft die Apache-Version 2.4.49 und könnte auch in früheren Fassungen des Servers auftreten. In der Software steckt ein Fehler, durch den die Pfad-Navigation in einem URL nicht mehr ausreichend geprüft und im Zweifelsfall abgefangen wird, um Nutzern von Außen den Zugang zu bestimmten Bereichen eines System zu verwehren.

Grundsätzlich ist es möglich, dass mit entsprechenden Angaben im URL nicht nur tiefer in eine Verzeichnisstruktur hinein navigiert werden kann. Es ist auch möglich, sich weiter in Richtung der Wurzel zu hangeln. Dadurch kann man letztlich auch in Bereiche des Dateisystems vordringen, deren Inhalte auf keinen Fall durch den Webserver nach außen geleitet werden sollten.

Gravierendes Informations-Leck

Für gewöhnlich prüft Apache die eingehenden Anfragen und gleicht sie mit den in den Konfigurations-Dateien angegebenen Rechten ab. Dies ist nötig, da eine komplette Sperre manchmal eben auch nicht gewünscht ist und in Webanwendungen zu komplizierteren Konstrukten führen würde, die ihrerseits wieder fehleranfällig sind.

Durch den Bug wurden aber nun trotz richtiger Einstellungen Verzeichnisse zugänglich, die sehr sensible Informationen nach außen dringen lassen können. Ein erster Anlaufpunkt für Angreifer dürften beispielsweise CGI-Verzeichnisse sein, in denen Code-Dateien auffindbar sind, in denen unter anderem auch Passwörter zu Webservices oder Datenbanken enthalten sind. Es kann aber auch noch tiefer ins System gehen, so dass Unbefugte Zugang zu wichtigen Inhalten des zugrundeliegenden Betriebssystems bekommen. Betreiber eines Apache-Servers sollten dafür sorgen, dass ihre Software auf den Versions-Stand 2.4.50 aktualisiert wird. Denn in dieser Fassung ist der Fehler behoben.

Siehe auch:

Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/LenovoLisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
53,98
Ersparnis zu Amazon 33% oder 26
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!