Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Artikel veröffentlicht am , Hanno Böck
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen.
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen. (Bild: Apache)

Die Entwickler des Apache-Webservers haben eine neue Version veröffentlicht, die insgesamt sechs Sicherheitslücken schließt. Eine davon ist besonders für Server mit mehreren Nutzern gefährlich: Ein Nutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann damit Root-Rechte erlangen.

Stellenmarkt
  1. KIS-Betreuer iMedOne (m/w/d)
    Helios IT Service GmbH, Leipzig
  2. Junior IT-Security Engineer SIEM (m/w/d)
    Helios IT Service GmbH, Berlin
Detailsuche

Viele Details sind zu dieser Sicherheitslücke noch nicht bekannt. Aus der Beschreibung geht aber hervor, dass es sich offenbar um ein Problem im sogenannten Scoreboard von Apache handelt. Dieses erlaubt es, Informationen über aktuelle HTTP-Anfragen und die Auslastung des Servers abzurufen.

Race-Condition ermöglicht Login ohne Passwort

Auch einige der anderen geschlossenen Sicherheitslücken sind nicht unproblematisch. Eine Race-Condition erlaubt es unter Umständen, die HTTP-Authentifizierung mit der Digest-Methode zu umgehen. Damit können Bereiche eines Webservers mit einem Passwort geschützt werden.

Nutzer des Apache-Webservers sollten schnellstmöglich die aktuelle Version 2.4.39 installieren. Insbesondere für Webhosting-Unternehmen, bei denen sich mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bislang keine Updates.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. Nachhaltigkeit: Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner
    Nachhaltigkeit
    Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner

    Kawasaki will elektrische Antriebe für seine Fahrzeuge entwickeln, 2022 sollen drei Elektromotorräder erscheinen.

  2. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /