Patch gegen Angriffe auf Webserver Apache

Aktuell nutzen Angreifer eine kritische Lücke in Webservern auf Basis von Apache  aus. Sicherheitsupdates dagegen sind schon länger verfügbar. Wer als Admin für einen Apache-Webserver verantwortlich ist, sollte jetzt sein System auf den aktuellsten Stand bringen, denn Sicherheitsforscher beobachten aktuell Angriffe auf verwundbare Apache-Installationen. Die dabei ausgenutzte Sicherheitslücke (CVE-2021-40438) gilt als „kritisch“. Durch das einfache Versenden von präparierten HTTP-Anfragen könnten entfernte Angreifer ohne jede Authentifizierung laut einer Warnmeldung von Apache an der Schwachstelle in dem Modul mod_proxy ansetzen und dann Anfragen an beliebige Server weiterleiten (Server-Side Request Forgery SSRF). Betroffene Webserver dringend aktualisieren Die Schwachstelle soll in Apache Webservern von Version 2.4.17 bis einschließlich 2.4.48 stecken. Versionen ab 2.4.49 sollen gegen diese Attacken abgesichert sein. Die abgesicherte Ausgabe ist schon seit Mitte September 2021 verfügbar. Die aktuellen Angriffe haben unter anderem Sicherheitsforscher von Rapid7 beobachtet. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Ende November 2021 für dieses Sicherheitsproblem die IT-Bedrohungslage 2/Gelb verhängt. Laut Rapid7 gibt es zurzeit noch keine Hinweise auf weitverbreitete Angriffe. Weil weltweit aber sehr viele Webserver auf Apache-Basis laufen, liegt es nahe, dass das Volumen von Attacken noch zunehmen wird. Die Sicherheitsforscher geben dazu an, immerhin mehr als 4 Millionen potenziell angreifbare Server im Netz gefunden zu haben…

2021-12-03T14:09:53+02:00Dezember 3rd, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Patch gegen Angriffe auf Webserver Apache
Weiterlesen

Erweiterter Notfallpatch für Apache-Webserver

Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache. Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind. Lücke macht Remote Code Execution möglich Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen. Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus "require all denied" aktiviert, der vor solchen Angriffen schützen soll. In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als "unzureichend" bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an. Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben - eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen. Apache umgehend (noch einmal) patchen! Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend [...]

2021-10-08T10:56:30+02:00Oktober 8th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Erweiterter Notfallpatch für Apache-Webserver
Weiterlesen

Browser Chrome sieht HTTPS als Standard

Googles Browser Chrome setzt künftig voraus, dass die Verschlüsselung von Internetseiten mit sicherem HTTP (HTTPS) als Standard angesehen werden kann. Es beginnt mit Chrome 69... Deshalb markiert der Browser  solche Seiten in Zukunft nicht mehr mit dem grünen Schloss und dem Wort „Sicher“ in der Adressleiste. Diese Änderung soll mit der Einführung von Chrome 69 im September eingeführt werden. HTTP-Seiten ohne Verschlüsselung kennzeichnet Chrome zurzeit nur mit einem grauen Ausrufungszeichen. Ab der Version 68, die im Juli veröffentlicht werden soll, erscheint neben dem Ausrufungszeichen zusätzlich der Hinweis „Unsicher“ gegeben werden. …und geht mit Chrome 70 weiter Mit Chrome 70, der für Oktober geplant ist, soll die Warnung weiter verschärft werden. Dann soll bei allen Texteingaben in unverschlüsselte Websites die Farbe der Verschlüsselungs-Warnung von Grau nach Rot wechseln und das Ausrufezeichen gegen ein rotes Warndreieck ausgetauscht werden. Kostenlose und günstige SSL-Zertifikate Heutzutage sind Zertifikate für die Verschlüsselung von Websites schon bei so manchen Anbietern schon fester Bestandteil von Hostingpaketen. Außerdem bietet unter anderem die Non-Profit-Organisation Internet Security Research Group mit ihrer Initiative Let’s Encrypt kostenlose SSL-Zertifikate an. Schon länger setzt sich Google für die standardmäßige Verschlüsselung des Datenverkehrs zwischen Browser und Webserver ein. Um die Verbreitung von HTTPS-Websites zu erhöhen, werden sie schon seit mehreren Jahren in [...]

2018-05-22T16:40:00+02:00Mai 22nd, 2018|Browser, HTML, Webwerkzeuge|Kommentare deaktiviert für Browser Chrome sieht HTTPS als Standard
Weiterlesen

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP's Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt. Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen. SSRF-Angriffe in der Praxis Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt. Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können… Britisches Zensursystem antwortet auf Header Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem [...]

2017-07-31T11:02:16+02:00Juli 31st, 2017|Allgemein, HTML, test|Kommentare deaktiviert für HTTP-Header verwirren Internetserver
Weiterlesen

Das letzte Sicherheitsupdate für den Webserver Apache 2.0

Das letzte Update für den Webservers Apache 2.0.65 ist nach einem Bericht von Heise auch das Ende der Apache 2.0-Hauptversion. Durch dies Update werden unter anderem sechs Sicherheitslücken mit CVE-Eintrag geschlossen. Dazu gehört auch der bekannte Fehler der Log-Funktion, durch den Angereifer Kontrolle über den Server erlangen können. Das ebenfalls schon länger bekannte Problem, dass man mit geschickt formulierten Regeln in einer .htaccess-Datei den gesamten Arbeitsspeicher überschreiben kann, wird in der 2.0er Versionsreihe wohl nicht mehr beseitigt. Aus diesen Gründen sollten Anwender jetzt auf eine der neueren Versionen 2.2 oder 2.4 umsteigen. Apache 2.4 wurde schon im Februar letzten Jahres herausgegeben.

2013-07-15T13:39:11+02:00Juli 15th, 2013|Allgemein|Kommentare deaktiviert für Das letzte Sicherheitsupdate für den Webserver Apache 2.0
Weiterlesen

PHP: Festplatten-Speicher des Webservers abfragen

Gelegentlich kann es wichtig werden, zu wissen, wie viel Speicherplatz man noch auf der Festplatte des Webservers zur Verfügung hat. Gerade bei einer Internetpräsenz mit vielen Digitalfotos in voller Größe sind schnell die Grenzen der Kapazität erreicht. Der folgende PHP-Schnipsel gibt die Gesamtgröße der Festplatte und den freien Speicherplatz darauf aus. Auch die im aktuellen Verzeichnis benutzte Kapazität wird angezeigt, das hilft zu erkennen, ob es wirklich die Fotos sind, oder ob ein anderer Bereich die Ressourcen belastet. Der Code dazu: <?PHP $path = "./"; $free = round(disk_free_space  ($path) / 1024 / 1024, 3); $disk = round(disk_total_space ($path) / 1024 / 1024, 3); printf ('<p>Von insgesamt %s GB sind noch %s GB frei.</p>', number_format ( $disk, 0, ',', '.'), number_format ( $free, 0, ',', '.') ); define ('_size', 4096); function dir_size($DIR = FALSE) { if ( ! $DIR OR ! is_dir($DIR)) return; if (substr($DIR,-1) != "/") $DIR .= "/"; if ($d = dir($DIR)) { $size = _size; while ($n = $d->read()) { if ($n == "." OR $n == "..") continue; $SIZE += (is_dir($DIR . $n)) ? dir_size($DIR . $n) + $size : ceil(filesize($DIR . $n) / $size) * $size; } $d->close(); } return $SIZE; } printf('<p>Im Verzeichnis sind %s Bytes in Benutzung</p>', dir_size(dirname(__file__))); [...]

2011-08-18T08:59:30+02:00August 18th, 2011|PHP|Kommentare deaktiviert für PHP: Festplatten-Speicher des Webservers abfragen
Weiterlesen
Nach oben