• IT-Karriere:
  • Services:

Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Artikel veröffentlicht am , Hanno Böck
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen.
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen. (Bild: Apache)

Die Entwickler des Apache-Webservers haben eine neue Version veröffentlicht, die insgesamt sechs Sicherheitslücken schließt. Eine davon ist besonders für Server mit mehreren Nutzern gefährlich: Ein Nutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann damit Root-Rechte erlangen.

Stellenmarkt
  1. Weleda AG, Schwäbisch Gmünd
  2. H&H Datenverarbeitungs- und Beratungsgesellschaft mbH, Berlin

Viele Details sind zu dieser Sicherheitslücke noch nicht bekannt. Aus der Beschreibung geht aber hervor, dass es sich offenbar um ein Problem im sogenannten Scoreboard von Apache handelt. Dieses erlaubt es, Informationen über aktuelle HTTP-Anfragen und die Auslastung des Servers abzurufen.

Race-Condition ermöglicht Login ohne Passwort

Auch einige der anderen geschlossenen Sicherheitslücken sind nicht unproblematisch. Eine Race-Condition erlaubt es unter Umständen, die HTTP-Authentifizierung mit der Digest-Methode zu umgehen. Damit können Bereiche eines Webservers mit einem Passwort geschützt werden.

Nutzer des Apache-Webservers sollten schnellstmöglich die aktuelle Version 2.4.39 installieren. Insbesondere für Webhosting-Unternehmen, bei denen sich mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bislang keine Updates.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 999,90€ + Versand (Vergleichspreis für derzeit günstigste RTX 2080 Ti + EKWB-Kühlblock über 1...
  2. 548€ + 7,99€ Versand (Vergleichspreis CPU 437,99€ und Mainboard 229,90€)
  3. 479€ + Versand (Vergleichspreis 649€)
  4. (aktuell u. a. Seagate Backup Plus Portable 4 TB für 88€ und Expansion+ Desktop 4 TB für 77€)

hungkubwa 03. Apr 2019

Wieso sollte ich mich auf meinen Server mit SSH verbinden, wenn ich nicht sowieso bereits...

hannob (golem.de) 02. Apr 2019

Der Link sollte natürlich mit in den Artikel rein, hatte ich vergessen. Hab ihn jetzt...


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

IT-Chefs aus Indien: Mehr als nur ein Klischee
IT-Chefs aus Indien
Mehr als nur ein Klischee

In den Vorstandsetagen großer Tech-Unternehmen sind Inder allgegenwärtig. Der Stereotyp des IT-Experten aus Südasien prägt die US-Popkultur. Doch hinter dem Erfolg indischstämmiger Digitalunternehmer steckt viel mehr.
Ein Bericht von Jörg Wimalasena

  1. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  2. Frauen in der IT Software-Entwicklung ist nicht nur Männersache
  3. Virtuelle Zusammenarbeit Wie Online-Meetings nicht zur Zeitverschwendung werden

Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  2. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate
  3. Disney+ The Mandalorian gibt es in Deutschland im Wochenturnus

    •  /