Update #2 - Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 und 2.4.50 - RCE möglich, Updates und Workarounds verfügbar

6. Oktober 2021

Beschreibung

Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen, wenn der Schutzmechanismus require all denied nicht aktiv ist.

CVE-Nummer: CVE-2021-41773

CVSS Base Score: tbd

Auswirkungen

Angreifer:innen können auf Dateien außerhalb des Document-Root-Verzeichnisses zugreifen.

Betroffene Version

• Apache HTTP Server 2.4.49

Abhilfe

Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version 2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände auslösen können.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Apache Advisory
https://httpd.apache.org/security/vulnerabilities_24.html

Workaround von Apache
https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles

Heise-Artikel
https://heise.de/-6209130

Bleeping Computer-Artikel
https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/