[Warning] Wichtige Sicherheitslücke (CVE-2021-41773) in Apache HTTP Server 2.4.49 - Updates und Workarounds verfügbar
Thomas Pribitzer
pribitzer at cert.at
Wed Oct 6 15:14:16 CEST 2021
6. Oktober 2021
Beschreibung
Die vom Apache Team als "wichtig" eingestufte Path-Traversal-Lücke
CVE-2021-41773 erlaubt potentiellen Angreifer:innen, auf Dateien und
Verzeichnisse außerhalb des Document-Root-Verzeichnisses zuzugreifen,
wenn der Schutzmechanismus "require all denied" nicht aktiv ist.
CVE-Nummer: CVE-2021-41773
CVSS Base Score: tbd
Auswirkungen
Angreifer:innen können auf Dateien außerhalb des
Document-Root-Verzeichnisses zugreifen.
Betroffene Version
Apache HTTP Server 2.4.49
Abhilfe
Upgrade auf Apache Version 2.4.50 bzw. Anwenden des Workarounds. Version
2.4.50 schließt außerdem die Lücke CVE-2021-41524, durch die
Angreifer:innen mithilfe präparierter HTTP/2-Anfragen DoS-Zustände
auslösen können.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
________________________________________________________________________
Informationsquelle(n):
Apache Advisory
https://httpd.apache.org/security/vulnerabilities_24.html
Workaround von Apache
https://httpd.apache.org/docs/current/misc/security_tips.html#protectserverfiles
Heise-Artikel
https://heise.de/-6209130
________________________________________________________________________
--
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20211006/23ea2c57/attachment.sig>
More information about the Warning
mailing list