Webserver: Apache-Sicherheitslücke ermöglicht Auslesen von Dateien

Ein Fehler im Apache-Webserver lässt Zugriffe außerhalb des Webroots zu, allerdings sind Standardkonfigurationen wohl nicht verwundbar.

Artikel veröffentlicht am ,
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49.
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49. (Bild: Pixabay, Apache, Montage Golem.de)

Im Apache-Webserver wurde eine Sicherheitslücke entdeckt, die in bestimmten Situationen Zugriffe außerhalb des Webroot-Verzeichnisses möglich macht. Der Fehler ist nur in der erst vor wenigen Wochen Version 2.4.49 enthalten, Nutzer älterer Versionen sind daher nicht verwundbar.

Stellenmarkt
  1. Frontend Engineer (w/m/d) bei ARD Online
    SWR Südwestrundfunk Anstalt des öffentlichen Rechts, Mainz
  2. Consultant Backup (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Detailsuche

Bei dem Fehler handelt es sich um eine Path-Traversel-Sicherheitslücke. Wenn man in Pfadangaben bei Web-Requests über die Angabe von zwei Punkten ("..") versucht, in das übergeordnete Verzeichnis zu gelangen, sollte dies normalerweise vom Server blockiert werden.

Laut dem Apache-Projekt wird die Lücke bereits aktiv ausgenutzt. Potentiell betroffene Serveradministratoren sollten daher entsprechende Updates schnell installieren.

URL-Encoding ermöglicht Austricksen von Filter

In Web-URLs lassen sich Zeichen über das sogenannte URL-Encoding auch durch ihren ASCII-Code angeben. Das wurde im Filtercode nicht hinreichend berücksichtigt: Wenn man den zweiten Punkt entsprechend codiert (".%2E"), ist eine Umgehung der Filter möglich. Das führt zwar dazu, dass man die Webserver-Filterung austricksen kann, in den meisten Konfigurationen ist jedoch trotzdem kein Zugriff auf beliebige Dateien außerhalb des Webroots möglich. Dafür sorgt, dass in der Standardkonfiguration üblicherweise der Zugriff auf alle Verzeichnisse erstmal über die Option "Require all denied" gesperrt ist und nur individuell in der Konfiguration freigegeben werden kann. Für einen erfolgreichen Angriff müssen aber wohl noch weitere Bedingungen erfüllt sein. In einem Test von Golem.de konnten wir durch Angabe einer entsprechenden URL zwar eine andere Fehlermeldung erzeugen, es gelang uns jedoch nicht, auf Dateien außerhalb des Webroots zuzugreifen. Das war auch dann der Fall, wenn wir in unserem Testserver die "Require all denied"-Option auskommentiert hatten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    23./24.01.2023, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    15./16.12.2022, Virtuell
Weitere IT-Trainings

Durch die veränderte Fehlermeldung kann man verwundbare Server jedoch erkennen. Hierfür kann man folgendes Curl-Kommando nutzen:

"curl -sk --path-as-is http://localhost/.%2e/test.txt".

Wenn als Fehlermeldung ein 403 Forbidden zurückkommt, handelt es sich um einen verwundbaren Server. Nicht verwundbare Server antworten mit dem Fehler 400 Bad Request.

Das Apache-Projekt hat die Version 2.4.50 seines Webservers veröffentlicht, in der die Lücke geschlossen ist. Sie trägt die Kennung CVE-2021-41773.

Nachtrag vom 8. Oktober 2021, 12:13 Uhr

Wie sich inzwischen herausgestellt hat, war der Fix für die Lücke unvollständig und auch die Version 2.4.50 ist angreifbar. Apache hat dies in Version 2.4.51 behoben, die erneute Lücke trägt die Kennung CVE-2021-42013. Zudem stellte sich inzwischen heraus, dass die Lücke in manchen Konfigurationen Remote-Code-Execution-Angriffe ermöglicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 05. Okt 2021

"curl -path-as-is http://192.168.2.79/index.html" -> index.html aus dem web-Root...

M.P. 05. Okt 2021

Wie reagiert Linux curl auf "-sk" ????

hab (Golem.de) 05. Okt 2021

Danke für den Hinweis, korrigieren wir gleich.

Vanger 05. Okt 2021

Das kommt davon wenn man strikt Upstream folgt... :/ Nun gut, dann updaten wir mal. So...



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /