Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Sicherheitsupdate: Angreifer könnten auf Dateien von Apache-Webservern zugreifen

Angreifer haben es derzeit auf Apache-Webserver abgesehen. Davon ist aber nur eine bestimmte Version bedroht.
Unter bestimmten Voraussetzungen könnten Angreifer auf Dateien außerhalb des Document-Root-Verzeichnisses von Webservern auf Apache-Basis zugreifen. Genau das soll derzeit passieren. Eine dagegen abgesicherte Version ist bereits erschienen.
Die Path-Traversal-Lücke (CVE-2021-41773) betrifft ausschließlich die Apache-HTTP-Server-Version 2.4.49. Wenn der Schutzmechanismus "require all denied" nicht aktiv ist, könnten Angreifer mit speziellen URLs Dateien außerhalb des Document-Root-Verzeichnisses einsehen.
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, dass der Sicherheitsmechanismus standardmäßig nicht aktiv ist. Bislang gibt es keine offizielle Einstufung des Schweregrads der Schwachstelle. Das Apache-Team stuft das Sicherheitsupdate als "wichtig" ein.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, die Lücke in Apache HTTP Server 2.4.50 geschlossen zu haben. In der Ausgabe 2.4.49 hat sich noch ein weiterer Fehler eingeschlichen, der in der aktuellen Version bereinigt wurde. Durch das erfolgreiche Ausnutzen der zweiten Lücke (CVE-2021-41524) sollen Angreifer durch präparierte HTTP/2-Anfragen DoS-Zustände auslösen können. Auch hier steht eine offizielle Einstufung noch aus. Die Entwickler stufen die Bedrohung als "moderat" ein.
Quelle: heise
 
Zurück
Oben