Böswillige Angreifer könnten Apache-Internetserver abstürzen lassen oder eine Sicherheitslücke sogar für noch Schlimmeres missbrauchen. Diese Schwachstellen dichtet die neue Apache-Version 2.4.52 ab.
Eine der Sicherheitslücken wird von den Entwicklern als moderates Risiko, eine andere aber als „hohe“ Gefahr bewertet. Deshalb sollten die Administratoren die Aktualisierung rasch installieren.
Details zu den Schwachstellen
Die schwerwiegendere Lücke steckt im LUA-Skript-Parser mod_lua (CVE-2021-44790, Risiko hoch). Durch manipulierte Anfragen aus LUA-Skripten heraus hätten Angreifer einen Pufferüberlauf beim Aufruf von r:parsebody() auslösen können.
Pufferüberläufe dieser Art lassen sich häufig beispielsweise zum Ausführen eingeschleusten Codes missbrauchen. Zwar sind dem Apache-Projekt noch keine Exploits für diese Schwachstelle bekannt. aber die Entwickler schätzen, dass es möglich sei, einen dafür zu entwickeln.
Apache als Forward-Proxy
Ist Apache nur als Forward-Proxy konfiguriert, dann könnten Angreifer mit dem Senden einer manipulierten URI einen Absturz aufgrund einer sogenannten Null-Pointer-Dereferenz auslösen (CVE-2021-44224, moderat).
Ein solcher Pointer (Zeiger) weist bereits ins digitale Nirvana (NULL), was ihn dann ungültig macht. Die weitere Dereferenzierung führt in aller Regel zum Absturz der Software.
Apache als Forward- und Reverse-Proxy
Wenn Apache aber als Forward- und Reverse-Proxy arbeitet, kann das eine Server Side Request Forgery (SSRF) provozieren, durch die ein Angreifer unbefugt Zugriff auf Ressourcen des Servers oder weiterer Systeme bekommen könnte.
Neue Apache-Version 2.4.52 bringt Abhilfe
Von der ersten Lücke sind alle Apache-Versionen bis 2.4.51 betroffen. Zu der zweiten Schwachstelle liest man in der der Sicherheitsmeldung der Apache-Entwickler, dass die Versionen zwischen 2.4.7 und 2.4.51 verwundbar sind.
Die soeben veröffentlichte Apache-Version 2.4.52 behebt beide Fehler. IT-Verantwortliche und Administratoren sollten die aktualisierte Pakete jetzt umgehend einspielen.
