Böswillige Angreifer könnten Apache-Internetserver abstürzen lassen oder eine Sicherheitslücke sogar für noch Schlimmeres missbrauchen. Diese Schwachstellen dichtet die neue Apache-Version 2.4.52 ab. Eine der Sicherheitslücken wird von den Entwicklern als moderates Risiko, eine andere aber als "hohe" Gefahr bewertet. Deshalb sollten die Administratoren die Aktualisierung rasch installieren. Details zu den Schwachstellen Die schwerwiegendere Lücke steckt im LUA-Skript-Parser mod_lua (CVE-2021-44790, Risiko hoch). Durch manipulierte Anfragen aus LUA-Skripten heraus hätten Angreifer einen Pufferüberlauf beim Aufruf von r:parsebody() auslösen können. Pufferüberläufe dieser Art lassen sich häufig beispielsweise zum Ausführen eingeschleusten Codes missbrauchen. Zwar sind dem Apache-Projekt noch keine Exploits für diese Schwachstelle bekannt. aber die Entwickler schätzen, dass es möglich sei, einen dafür zu entwickeln. Apache als Forward-Proxy Ist Apache nur als Forward-Proxy konfiguriert, dann könnten Angreifer mit dem Senden einer manipulierten URI einen Absturz aufgrund einer sogenannten Null-Pointer-Dereferenz auslösen (CVE-2021-44224, moderat). Ein solcher Pointer (Zeiger) weist bereits ins digitale Nirvana (NULL), was ihn dann ungültig macht. Die weitere Dereferenzierung führt in aller Regel zum Absturz der Software. Apache als Forward- und Reverse-Proxy Wenn Apache aber als Forward- und Reverse-Proxy arbeitet, kann das eine Server Side Request Forgery (SSRF) provozieren, durch die ein Angreifer unbefugt Zugriff auf Ressourcen des Servers oder weiterer Systeme bekommen könnte. Neue Apache-Version 2.4.52 bringt Abhilfe Von der ersten Lücke [...]