Webserver: Apache-Sicherheitslücke ermöglicht Auslesen von Dateien

Ein Fehler im Apache-Webserver lässt Zugriffe außerhalb des Webroots zu, allerdings sind Standardkonfigurationen wohl nicht verwundbar.

Artikel veröffentlicht am ,
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49.
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49. (Bild: Pixabay, Apache, Montage Golem.de)

Im Apache-Webserver wurde eine Sicherheitslücke entdeckt, die in bestimmten Situationen Zugriffe außerhalb des Webroot-Verzeichnisses möglich macht. Der Fehler ist nur in der erst vor wenigen Wochen Version 2.4.49 enthalten, Nutzer älterer Versionen sind daher nicht verwundbar.

Bei dem Fehler handelt es sich um eine Path-Traversel-Sicherheitslücke. Wenn man in Pfadangaben bei Web-Requests über die Angabe von zwei Punkten ("..") versucht, in das übergeordnete Verzeichnis zu gelangen, sollte dies normalerweise vom Server blockiert werden.

Laut dem Apache-Projekt wird die Lücke bereits aktiv ausgenutzt. Potentiell betroffene Serveradministratoren sollten daher entsprechende Updates schnell installieren.

URL-Encoding ermöglicht Austricksen von Filter

In Web-URLs lassen sich Zeichen über das sogenannte URL-Encoding auch durch ihren ASCII-Code angeben. Das wurde im Filtercode nicht hinreichend berücksichtigt: Wenn man den zweiten Punkt entsprechend codiert (".%2E"), ist eine Umgehung der Filter möglich. Das führt zwar dazu, dass man die Webserver-Filterung austricksen kann, in den meisten Konfigurationen ist jedoch trotzdem kein Zugriff auf beliebige Dateien außerhalb des Webroots möglich. Dafür sorgt, dass in der Standardkonfiguration üblicherweise der Zugriff auf alle Verzeichnisse erstmal über die Option "Require all denied" gesperrt ist und nur individuell in der Konfiguration freigegeben werden kann. Für einen erfolgreichen Angriff müssen aber wohl noch weitere Bedingungen erfüllt sein. In einem Test von Golem.de konnten wir durch Angabe einer entsprechenden URL zwar eine andere Fehlermeldung erzeugen, es gelang uns jedoch nicht, auf Dateien außerhalb des Webroots zuzugreifen. Das war auch dann der Fall, wenn wir in unserem Testserver die "Require all denied"-Option auskommentiert hatten.

Durch die veränderte Fehlermeldung kann man verwundbare Server jedoch erkennen. Hierfür kann man folgendes Curl-Kommando nutzen:

"curl -sk --path-as-is http://localhost/.%2e/test.txt".

Wenn als Fehlermeldung ein 403 Forbidden zurückkommt, handelt es sich um einen verwundbaren Server. Nicht verwundbare Server antworten mit dem Fehler 400 Bad Request.

Das Apache-Projekt hat die Version 2.4.50 seines Webservers veröffentlicht, in der die Lücke geschlossen ist. Sie trägt die Kennung CVE-2021-41773.

Nachtrag vom 8. Oktober 2021, 12:13 Uhr

Wie sich inzwischen herausgestellt hat, war der Fix für die Lücke unvollständig und auch die Version 2.4.50 ist angreifbar. Apache hat dies in Version 2.4.51 behoben, die erneute Lücke trägt die Kennung CVE-2021-42013. Zudem stellte sich inzwischen heraus, dass die Lücke in manchen Konfigurationen Remote-Code-Execution-Angriffe ermöglicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 05. Okt 2021

"curl -path-as-is http://192.168.2.79/index.html" -> index.html aus dem web-Root...

M.P. 05. Okt 2021

Wie reagiert Linux curl auf "-sk" ????

hab (Golem.de) 05. Okt 2021

Danke für den Hinweis, korrigieren wir gleich.

Vanger 05. Okt 2021

Das kommt davon wenn man strikt Upstream folgt... :/ Nun gut, dann updaten wir mal. So...



Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /