Abo

IT-Karriere:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Artikel veröffentlicht am 2. April 2019, 11:22 Uhr, Hanno Böck

Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen. (Bild: Apache)

Die Entwickler des Apache-Webservers haben eine neue Version veröffentlicht, die insgesamt sechs Sicherheitslücken schließt. Eine davon ist besonders für Server mit mehreren Nutzern gefährlich: Ein Nutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann damit Root-Rechte erlangen.

Stellenmarkt

Diehl Informatik GmbH, Nürnberg
Marienhaus Dienstleistungen GmbH, Ottweiler, Hermeskeil, Bitburg, Neuwied, Bad Neuenahr-Ahrweiler

Viele Details sind zu dieser Sicherheitslücke noch nicht bekannt. Aus der Beschreibung geht aber hervor, dass es sich offenbar um ein Problem im sogenannten Scoreboard von Apache handelt. Dieses erlaubt es, Informationen über aktuelle HTTP-Anfragen und die Auslastung des Servers abzurufen.

Race-Condition ermöglicht Login ohne Passwort

Auch einige der anderen geschlossenen Sicherheitslücken sind nicht unproblematisch. Eine Race-Condition erlaubt es unter Umständen, die HTTP-Authentifizierung mit der Digest-Methode zu umgehen. Damit können Bereiche eines Webservers mit einem Passwort geschützt werden.

Nutzer des Apache-Webservers sollten schnellstmöglich die aktuelle Version 2.4.39 installieren. Insbesondere für Webhosting-Unternehmen, bei denen sich mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bislang keine Updates.