[Warning] Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 - Updates und Workarounds verfügbar

Thomas Pribitzer pribitzer at cert.at
Wed Oct 6 15:14:16 CEST 2021


6. Oktober 2021

Beschreibung

Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke
CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und
Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen,
wenn der Schutzmechanismus "require all denied" nicht aktiv ist.

CVE-Nummer: CVE-2021-41773

CVSS Base Score: tbd

Auswirkungen

Angreifer:innen können auf Dateien außerhalb des
Document-Root-Verzeichnisses zugreifen.

Betroffene Version

    Apache HTTP Server 2.4.49

Abhilfe

Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version
2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die
Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände
auslösen können.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

________________________________________________________________________

Informationsquelle(n):

Apache Advisory
https://httpd.apache.org/security/vulnerabilities_24.html

Workaround von Apache
https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles

Heise-Artikel
https://heise.de/-6209130

________________________________________________________________________


-- 
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien

-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20211006/23ea2c57/attachment.sig>


More information about the Warning mailing list