Sicherheitsupdate: Angreifer könnten auf Dateien von Apache-Webservern zugreifen

Unter bestimmten Voraussetzungen könnten Angreifer auf Dateien außerhalb des Document-Root-Verzeichnisses von Webservern auf Apache-Basis zugreifen. Genau das soll derzeit passieren. Eine dagegen abgesicherte Version ist bereits erschienen.

Die Path-Traversal-Lücke (CVE-2021-41773) betrifft ausschließlich die Apache-HTTP-Server-Version 2.4.49. Wenn der Schutzmechanismus „require all denied“ nicht aktiv ist, könnten Angreifer mit speziellen URLs Dateien außerhalb des Document-Root-Verzeichnisses einsehen. Die Sicherheitstipps der Entwickler für Apache HTTP Server 2.4 lesen sich so, dass der Sicherheitsmechanismus standardmäßig nicht aktiv ist. Bislang gibt es keine offizielle Einstufung des Schweregrads der Schwachstelle. Das Apache-Team stuft das Sicherheitsupdate als „wichtig“ ein.

Quelle: Sicherheitsupdate: Angreifer könnten auf Dateien von Apache-Webservern zugreifen | heise online