Update #2 - Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 <u>und 2.4.50</u> - RCE möglich, Updates und Workarounds verfügbar
6. Oktober 2021
Update: 07. Oktober 2021
Update: 08. Oktober 2021
Beschreibung
Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen, wenn der Schutzmechanismus require all denied
nicht aktiv ist.
CVE-Nummer: CVE-2021-41773
CVSS Base Score: tbd
Update: 07. Oktober 2021
Die Schwachstelle kann das Ausführen von beliebigem Code mit den Rechten des Dienstes ermöglichen, wenn mod_cgi
aktiviert ist.
Auswirkungen
Angreifer:innen können auf Dateien außerhalb des Document-Root-Verzeichnisses zugreifen.
Update: 7. Oktober 2021
Sollte es Angreifer:innen gelingen durch Ausnutzen des Path-Traversal Exploits eine Datei zu erstellen/hochzuladen und auszuführen, ist eine vollständige Kompromittierung des Systems möglich.
Betroffene Version
- Apache HTTP Server 2.4.49
Update: 08. Oktober 2021
- Apache HTTP Server 2.4.50
Abhilfe
Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version 2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände auslösen können.
Update: 08. Oktober 2021
Die Absicherungen in Apache 2.4.50 waren leider nicht ausreichend und konnten umgangen werden. Apache hat dafür eine neue CVE (CVE-2021-42013) vergeben und mit Apache 2.4.51 eine Version veröffentlicht, die das Problem behebt.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Apache Advisory
https://httpd.apache.org/security/vulnerabilities_24.html
Workaround von Apache
https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles
Heise-Artikel
https://heise.de/-6209130
Bleeping Computer-Artikel
https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/