Update #2 - Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 <u>und 2.4.50</u> - RCE möglich, Updates und Workarounds verfügbar

6. Oktober 2021

Update: 07. Oktober 2021

Update: 08. Oktober 2021

Beschreibung

Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen, wenn der Schutzmechanismus require all denied nicht aktiv ist.

CVE-Nummer: CVE-2021-41773

CVSS Base Score: tbd

Update: 07. Oktober 2021

Die Schwachstelle kann das Ausführen von beliebigem Code mit den Rechten des Dienstes ermöglichen, wenn mod_cgi aktiviert ist.

Update: 08. Oktober 2021

CVE-Nummer: CVE-2021-42013

CVSS Base Score: tbd

Auswirkungen

Angreifer:innen können auf Dateien außerhalb des Document-Root-Verzeichnisses zugreifen.

Update: 7. Oktober 2021

Sollte es Angreifer:innen gelingen durch Ausnutzen des Path-Traversal Exploits eine Datei zu erstellen/hochzuladen und auszuführen, ist eine vollständige Kompromittierung des Systems möglich.

Betroffene Version

  • Apache HTTP Server 2.4.49

Update: 08. Oktober 2021

  • Apache HTTP Server 2.4.50

Abhilfe

Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version 2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände auslösen können.

Update: 08. Oktober 2021

Die Absicherungen in Apache 2.4.50 waren leider nicht ausreichend und konnten umgangen werden. Apache hat dafür eine neue CVE (CVE-2021-42013) vergeben und mit Apache 2.4.51 eine Version veröffentlicht, die das Problem behebt.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Apache Advisory
https://httpd.apache.org/security/vulnerabilities_24.html

Workaround von Apache
https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles

Heise-Artikel
https://heise.de/-6209130

Bleeping Computer-Artikel
https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/