Angreifer haben es derzeit auf Apache-Webserver abgesehen. Davon ist aber nur eine bestimmte Version bedroht.
Unter bestimmten Voraussetzungen könnten Angreifer auf Dateien außerhalb des Document-Root-Verzeichnisses von Webservern auf Apache-Basis zugreifen. Genau das soll derzeit passieren. Eine dagegen abgesicherte Version ist bereits erschienen.
Die Path-Traversal-Lücke (CVE-2021-41773) betrifft ausschließlich die Apache-HTTP-Server-Version 2.4.49. Wenn der Schutzmechanismus "require all denied" nicht aktiv ist, könnten Angreifer mit speziellen URLs Dateien außerhalb des Document-Root-Verzeichnisses einsehen.
Quelle: heise
Unter bestimmten Voraussetzungen könnten Angreifer auf Dateien außerhalb des Document-Root-Verzeichnisses von Webservern auf Apache-Basis zugreifen. Genau das soll derzeit passieren. Eine dagegen abgesicherte Version ist bereits erschienen.
Die Path-Traversal-Lücke (CVE-2021-41773) betrifft ausschließlich die Apache-HTTP-Server-Version 2.4.49. Wenn der Schutzmechanismus "require all denied" nicht aktiv ist, könnten Angreifer mit speziellen URLs Dateien außerhalb des Document-Root-Verzeichnisses einsehen.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, dass der Sicherheitsmechanismus standardmäßig nicht aktiv ist. Bislang gibt es keine offizielle Einstufung des Schweregrads der Schwachstelle. Das Apache-Team stuft das Sicherheitsupdate als "wichtig" ein.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, die Lücke in Apache HTTP Server 2.4.50 geschlossen zu haben. In der Ausgabe 2.4.49 hat sich noch ein weiterer Fehler eingeschlichen, der in der aktuellen Version bereinigt wurde. Durch das erfolgreiche Ausnutzen der zweiten Lücke (CVE-2021-41524) sollen Angreifer durch präparierte HTTP/2-Anfragen DoS-Zustände auslösen können. Auch hier steht eine offizielle Einstufung noch aus. Die Entwickler stufen die Bedrohung als "moderat" ein.Quelle: heise