• IT-Karriere:
  • Services:

Sicherheitslücke: Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Artikel veröffentlicht am , Hanno Böck
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen.
Administratoren sollten schnell updaten: Mehrere gefährliche Sicherheitslücken wurden im Apache-Webserver geschlossen. (Bild: Apache)

Die Entwickler des Apache-Webservers haben eine neue Version veröffentlicht, die insgesamt sechs Sicherheitslücken schließt. Eine davon ist besonders für Server mit mehreren Nutzern gefährlich: Ein Nutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann damit Root-Rechte erlangen.

Stellenmarkt
  1. SySS GmbH, Tübingen
  2. thyssenkrupp Digital Projects, Essen

Viele Details sind zu dieser Sicherheitslücke noch nicht bekannt. Aus der Beschreibung geht aber hervor, dass es sich offenbar um ein Problem im sogenannten Scoreboard von Apache handelt. Dieses erlaubt es, Informationen über aktuelle HTTP-Anfragen und die Auslastung des Servers abzurufen.

Race-Condition ermöglicht Login ohne Passwort

Auch einige der anderen geschlossenen Sicherheitslücken sind nicht unproblematisch. Eine Race-Condition erlaubt es unter Umständen, die HTTP-Authentifizierung mit der Digest-Methode zu umgehen. Damit können Bereiche eines Webservers mit einem Passwort geschützt werden.

Nutzer des Apache-Webservers sollten schnellstmöglich die aktuelle Version 2.4.39 installieren. Insbesondere für Webhosting-Unternehmen, bei denen sich mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bislang keine Updates.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

hungkubwa 03. Apr 2019

Wieso sollte ich mich auf meinen Server mit SSH verbinden, wenn ich nicht sowieso bereits...

hannob (golem.de) 02. Apr 2019

Der Link sollte natürlich mit in den Artikel rein, hatte ich vergessen. Hab ihn jetzt...


Folgen Sie uns
       


Silent Hill (1999) - Golem retro_

Wir haben einen Ausflug ins beschauliche Silent Hill gemacht - und ins Jahr 1999.

Silent Hill (1999) - Golem retro_ Video aufrufen
Computer Vision: Mehr Durchblick beim maschinellen Sehen
Computer Vision
Mehr Durchblick beim maschinellen Sehen

Mit den Services von Amazon, IBM, Microsoft und Google kann jeder recht einfach Bilder analysieren, ohne die genauen Mechanismen dahinter zu kennen. Die Anwendungen unterscheiden sich aber stark - vor allem im Funktionsumfang.
Von Miroslav Stimac

  1. Überwachung Bündnis fordert Verbot von Gesichtserkennung
  2. Videoüberwachung SPD-Chefin gegen Pläne für automatische Gesichtserkennung
  3. China Bürger müssen für Mobilfunkverträge ihre Gesichter scannen

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

    •  /