Erweiterter Notfallpatch für Apache-Webserver

Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache. Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind. Lücke macht Remote Code Execution möglich Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen. Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus "require all denied" aktiviert, der vor solchen Angriffen schützen soll. In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als "unzureichend" bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an. Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben - eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen. Apache umgehend (noch einmal) patchen! Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend [...]