Webserver: Apache-Sicherheitslücke ermöglicht Auslesen von Dateien

Ein Fehler im Apache-Webserver lässt Zugriffe außerhalb des Webroots zu, allerdings sind Standardkonfigurationen wohl nicht verwundbar.

Artikel veröffentlicht am ,
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49.
Eine schwere Sicherheitslücke im Apache-Webserver betrifft nur die erst kürzlich veröffentlichte Version 2.4.49. (Bild: Pixabay, Apache, Montage Golem.de)

Im Apache-Webserver wurde eine Sicherheitslücke entdeckt, die in bestimmten Situationen Zugriffe außerhalb des Webroot-Verzeichnisses möglich macht. Der Fehler ist nur in der erst vor wenigen Wochen Version 2.4.49 enthalten, Nutzer älterer Versionen sind daher nicht verwundbar.

Stellenmarkt
  1. Embedded Software Developer / Engineer (m/f/d)
    OTT Hydromet GmbH, Kempten
  2. ERP-Anwendungsentwickler m/w/d
    RAMPF Holding GmbH & Co. KG, Grafenberg (bei Metzingen)
Detailsuche

Bei dem Fehler handelt es sich um eine Path-Traversel-Sicherheitslücke. Wenn man in Pfadangaben bei Web-Requests über die Angabe von zwei Punkten ("..") versucht, in das übergeordnete Verzeichnis zu gelangen, sollte dies normalerweise vom Server blockiert werden.

Laut dem Apache-Projekt wird die Lücke bereits aktiv ausgenutzt. Potentiell betroffene Serveradministratoren sollten daher entsprechende Updates schnell installieren.

URL-Encoding ermöglicht Austricksen von Filter

In Web-URLs lassen sich Zeichen über das sogenannte URL-Encoding auch durch ihren ASCII-Code angeben. Das wurde im Filtercode nicht hinreichend berücksichtigt: Wenn man den zweiten Punkt entsprechend codiert (".%2E"), ist eine Umgehung der Filter möglich. Das führt zwar dazu, dass man die Webserver-Filterung austricksen kann, in den meisten Konfigurationen ist jedoch trotzdem kein Zugriff auf beliebige Dateien außerhalb des Webroots möglich. Dafür sorgt, dass in der Standardkonfiguration üblicherweise der Zugriff auf alle Verzeichnisse erstmal über die Option "Require all denied" gesperrt ist und nur individuell in der Konfiguration freigegeben werden kann. Für einen erfolgreichen Angriff müssen aber wohl noch weitere Bedingungen erfüllt sein. In einem Test von Golem.de konnten wir durch Angabe einer entsprechenden URL zwar eine andere Fehlermeldung erzeugen, es gelang uns jedoch nicht, auf Dateien außerhalb des Webroots zuzugreifen. Das war auch dann der Fall, wenn wir in unserem Testserver die "Require all denied"-Option auskommentiert hatten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Dive-in-Workshop: Kubernetes
    25.-28. Januar 2022, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Durch die veränderte Fehlermeldung kann man verwundbare Server jedoch erkennen. Hierfür kann man folgendes Curl-Kommando nutzen:

"curl -sk --path-as-is http://localhost/.%2e/test.txt".

Wenn als Fehlermeldung ein 403 Forbidden zurückkommt, handelt es sich um einen verwundbaren Server. Nicht verwundbare Server antworten mit dem Fehler 400 Bad Request.

Das Apache-Projekt hat die Version 2.4.50 seines Webservers veröffentlicht, in der die Lücke geschlossen ist. Sie trägt die Kennung CVE-2021-41773.

Nachtrag vom 8. Oktober 2021, 12:13 Uhr

Wie sich inzwischen herausgestellt hat, war der Fix für die Lücke unvollständig und auch die Version 2.4.50 ist angreifbar. Apache hat dies in Version 2.4.51 behoben, die erneute Lücke trägt die Kennung CVE-2021-42013. Zudem stellte sich inzwischen heraus, dass die Lücke in manchen Konfigurationen Remote-Code-Execution-Angriffe ermöglicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Truth Social
Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
Artikel
  1. Infiltration bei Apple TV+: Die Außerirdischen sind da!
    Infiltration bei Apple TV+
    Die Außerirdischen sind da!

    Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
    Eine Rezension von Peter Osteried

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Wochenrückblick: Big Macs
    Wochenrückblick
    Big Macs

    Golem.de-Wochenrückblick M1 Max Macs und mehr Pixel: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /