• IT-Karriere:
  • Services:

Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Artikel veröffentlicht am , Hanno Böck
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen.
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen. (Bild: Apache)

Die Entwickler des Apache-Webservers haben eine neue Version veröffentlicht, die insgesamt sechs Sicherheitslücken schließt. Eine davon ist besonders für Server mit mehreren Nutzern gefährlich: Ein Nutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann damit Root-Rechte erlangen.

Stellenmarkt
  1. Universitätsstadt MARBURG, Marburg
  2. RATIONAL Wittenheim SAS, Wittenheim (Frankreich)

Viele Details sind zu dieser Sicherheitslücke noch nicht bekannt. Aus der Beschreibung geht aber hervor, dass es sich offenbar um ein Problem im sogenannten Scoreboard von Apache handelt. Dieses erlaubt es, Informationen über aktuelle HTTP-Anfragen und die Auslastung des Servers abzurufen.

Race-Condition ermöglicht Login ohne Passwort

Auch einige der anderen geschlossenen Sicherheitslücken sind nicht unproblematisch. Eine Race-Condition erlaubt es unter Umständen, die HTTP-Authentifizierung mit der Digest-Methode zu umgehen. Damit können Bereiche eines Webservers mit einem Passwort geschützt werden.

Nutzer des Apache-Webservers sollten schnellstmöglich die aktuelle Version 2.4.39 installieren. Insbesondere für Webhosting-Unternehmen, bei denen sich mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bislang keine Updates.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Energiespeicher
    Ziegelstein-Stromspeicher - ein moderner Schildbürgerstreich
  2. Test Porsche Taycan 4S
    Dieses Auto ist Rock 'n' Roll
  3. Volkswagen-Elektroauto
    ID.3 mit großem Akku nicht für große Familien
  4. Tiktok-Übernahme
    Ein unmoralisches Angebot
  5. Seekabel
    Facebook lässt 25.000 Liter Bohrflüssigkeit im Meeresboden
Anzeige
Top-Angebote
  1. (u. a. Forza Horizon 4 - Ultimate Edition für 49,99€, ARK: Survival Evolved für 10,99€, Human...
  2. (u. a. Call of Duty: Modern Warfare für 52,49€, Forza Horizon 4 für 34,99€, Red Dead...
  3. 535,17€ (Bestpreis mit MediaMarkt)
  4. (u. a. Conan Exiles für 12,49€, Stellaris - Galaxy Edition für 5,49€, Green Hell für 9...
Kommentarübersicht
Re: Wer lässt den Apache denn unter root laufen?
hungkubwa 03. Apr 2019

Wieso sollte ich mich auf meinen Server mit SSH verbinden, wenn ich nicht sowieso bereits...

Re: Übersicht der Schwachstellen vom Hersteller
hab (Golem.de) 02. Apr 2019

Der Link sollte natürlich mit in den Artikel rein, hatte ich vergessen. Hab ihn jetzt...

Folgen Sie uns
       
The Last of Us 2 - Fazit

Überleben in der Postapokalypse: Im Actionspiel The Last of Us 2 erkunden wir mit der jungen Frau Ellie unter anderem die Stadt Seattle - und sinnen auf Rache für einen Mord.

The Last of Us 2 - Fazit Video aufrufen
Digitalisierung
IT in Behörden: Modernisierung unerwünscht
IT in Behörden
Modernisierung unerwünscht

In deutschen Amtsstuben kommt die Digitalisierung nur schleppend voran. Das liegt weniger an den IT-Abteilungen als an ihren fachfremden Kollegen.
Ein Bericht von Andreas Schulte

  1. ITDZ Glasfaserausbau für Berliner Schulen nicht mal beauftragt
  2. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
  3. Golem on Edge Homeoffice im Horrorland
GDC 2020
Star Wars Jedi Fallen Order: Die Macht ist mit den physikalisch Animierten
Star Wars Jedi Fallen Order
Die Macht ist mit den physikalisch Animierten

GDC 2020 Das Imperium stirbt korrekt simuliert: Ein Entwickler von Respawn hat das Animationssystem von Jedi Fallen Order vorgestellt.

  1. King Schöne Grafik für 249 Millionen Spieler
  2. John Romero "Haltet euren Quellcode so einfach wie möglich"
  3. Entwicklertagung Entwicklertagung GDC 2020 Summer für August angekündigt
Digitalisierung
Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Anzeige Die voll digitalisierte Kaserne der Zukunft
  2. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
  3. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /