Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-nutzer-des-apache-webservers-koennen-root-rechte-erlangen-1904-140395.html    Veröffentlicht: 02.04.2019 11:22    Kurz-URL: https://glm.io/140395

Sicherheitslücke

Nutzer des Apache-Webservers können Root-Rechte erlangen

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Die Entwickler des Apache-Webservers haben eine neue Version veröffentlicht, die insgesamt sechs Sicherheitslücken schließt. Eine davon ist besonders für Server mit mehreren Nutzern gefährlich: Ein Nutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann damit Root-Rechte erlangen.

Viele Details sind zu dieser Sicherheitslücke noch nicht bekannt. Aus der Beschreibung geht aber hervor, dass es sich offenbar um ein Problem im sogenannten Scoreboard von Apache handelt. Dieses erlaubt es, Informationen über aktuelle HTTP-Anfragen und die Auslastung des Servers abzurufen.

Race-Condition ermöglicht Login ohne Passwort

Auch einige der anderen geschlossenen Sicherheitslücken sind nicht unproblematisch. Eine Race-Condition erlaubt es unter Umständen, die HTTP-Authentifizierung mit der Digest-Methode zu umgehen. Damit können Bereiche eines Webservers mit einem Passwort geschützt werden.

Nutzer des Apache-Webservers sollten schnellstmöglich die aktuelle Version 2.4.39 installieren. Insbesondere für Webhosting-Unternehmen, bei denen sich mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bislang keine Updates.  (hab)


Verwandte Artikel:
Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar   
(04.02.2019, https://glm.io/139163 )
Übernahme: F5 kauft Firma hinter Nginx-Webserver   
(12.03.2019, https://glm.io/139938 )
Webserver: Gefährliche Lücke in Apache 2.x   
(17.07.2014, https://glm.io/107951 )
SR20: Zero-Day-Sicherheitslücke in TP-Link-Router   
(01.04.2019, https://glm.io/140379 )
Korrektur: Den Gast zum Admin machen   
(18.10.2018, https://glm.io/137193 )

© 1997–2020 Golem.de, https://www.golem.de/