Webserver: Apache-Sicherheitslücke ermöglicht Auslesen von Dateien

Ein Fehler im Apache-Webserver lässt Zugriffe außerhalb des Webroots zu, allerdings sind Standardkonfigurationen wohl nicht verwundbar.

Artikel veröffentlicht am ,
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49.
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49. (Bild: Pixabay, Apache, Montage Golem.de)

Im Apache-Webserver wurde eine Sicherheitslücke entdeckt, die in bestimmten Situationen Zugriffe außerhalb des Webroot-Verzeichnisses möglich macht. Der Fehler ist nur in der erst vor wenigen Wochen Version 2.4.49 enthalten, Nutzer älterer Versionen sind daher nicht verwundbar.

Stellenmarkt
  1. SAP Inhouse Consultant (m/w/d) Anwendungsberatung und Customizing FI/CO
    Lehmann&Voss&Co. KG, Hamburg-Wandsbek
  2. Software Engineer (m/w/d)
    WORK Microwave GmbH, Holzkirchen
Detailsuche

Bei dem Fehler handelt es sich um eine Path-Traversel-Sicherheitslücke. Wenn man in Pfadangaben bei Web-Requests über die Angabe von zwei Punkten ("..") versucht, in das übergeordnete Verzeichnis zu gelangen, sollte dies normalerweise vom Server blockiert werden.

Laut dem Apache-Projekt wird die Lücke bereits aktiv ausgenutzt. Potentiell betroffene Serveradministratoren sollten daher entsprechende Updates schnell installieren.

URL-Encoding ermöglicht Austricksen von Filter

In Web-URLs lassen sich Zeichen über das sogenannte URL-Encoding auch durch ihren ASCII-Code angeben. Das wurde im Filtercode nicht hinreichend berücksichtigt: Wenn man den zweiten Punkt entsprechend codiert (".%2E"), ist eine Umgehung der Filter möglich. Das führt zwar dazu, dass man die Webserver-Filterung austricksen kann, in den meisten Konfigurationen ist jedoch trotzdem kein Zugriff auf beliebige Dateien außerhalb des Webroots möglich. Dafür sorgt, dass in der Standardkonfiguration üblicherweise der Zugriff auf alle Verzeichnisse erstmal über die Option "Require all denied" gesperrt ist und nur individuell in der Konfiguration freigegeben werden kann. Für einen erfolgreichen Angriff müssen aber wohl noch weitere Bedingungen erfüllt sein. In einem Test von Golem.de konnten wir durch Angabe einer entsprechenden URL zwar eine andere Fehlermeldung erzeugen, es gelang uns jedoch nicht, auf Dateien außerhalb des Webroots zuzugreifen. Das war auch dann der Fall, wenn wir in unserem Testserver die "Require all denied"-Option auskommentiert hatten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
Weitere IT-Trainings

Durch die veränderte Fehlermeldung kann man verwundbare Server jedoch erkennen. Hierfür kann man folgendes Curl-Kommando nutzen:

"curl -sk --path-as-is http://localhost/.%2e/test.txt".

Wenn als Fehlermeldung ein 403 Forbidden zurückkommt, handelt es sich um einen verwundbaren Server. Nicht verwundbare Server antworten mit dem Fehler 400 Bad Request.

Das Apache-Projekt hat die Version 2.4.50 seines Webservers veröffentlicht, in der die Lücke geschlossen ist. Sie trägt die Kennung CVE-2021-41773.

Nachtrag vom 8. Oktober 2021, 12:13 Uhr

Wie sich inzwischen herausgestellt hat, war der Fix für die Lücke unvollständig und auch die Version 2.4.50 ist angreifbar. Apache hat dies in Version 2.4.51 behoben, die erneute Lücke trägt die Kennung CVE-2021-42013. Zudem stellte sich inzwischen heraus, dass die Lücke in manchen Konfigurationen Remote-Code-Execution-Angriffe ermöglicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Adobe Max 2021: Mehr KI-Funktionen in Photoshop und Premiere Pro
    Adobe Max 2021
    Mehr KI-Funktionen in Photoshop und Premiere Pro

    Adobe hat eine bessere Objektauswahl und einfacheres Kolorieren in Photoshop sowie Optionen für Musikremixing in Premiere Pro vorgestellt.

  2. Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
    Rockstar Games
    Neue GTA Trilogy läuft auch auf älterer PC-Hardware

    Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

  3. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /