Sicherheitsupdates: Apache HTTP Server und Tika sind verwundbar
Mehrere Schwachstellen bedrohen Apache HTTP Server und Tika. Angreifer können unter anderem Dienste lahmlegen.
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer können an mehreren Sicherheitslücken ansetzen, um Computer mit Apache HTTP Server oder Tika zu attackieren. Die Beschreibungen der Lücken lesen sich so, als könnten Angreifer Systeme im schlimmsten Fall kompromittieren.
Mit Tika extrahiert man Metadaten aus Dokumenten. HTTP Server ist ein weitverbreiteter Webserver. Vor allem im letztgenannten Fall können erfolgreiche Attacken weitreichende Folgen haben, wenn Angreifer die Kontrolle über Server erlangen.
Mehrere Sicherheitsprobleme
In einer Warnmeldung für HTTP Server listen die Entwickler fünf geschlossene Lücken auf. Offensichtlich steht die Einstufung der Bedrohungsgrade noch aus. Das Notfallteam CERT Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefahr als „kritisch“ ein.
Dabei kann es unter anderem im Kontext von ACME-Zertifikaten zu Speicherfehlern kommen (CVE-2025-55753). Das fĂĽhrt in der Regel zu AbstĂĽrzen (DoS-Attacke) oder es kann sogar Schadcode auf Systeme gelangen. Diese LĂĽcke wurde bereits im August dieses Jahres gemeldet. Ein Sicherheitsupdate gibt es aber erst jetzt. Bislang gibt es keine Berichte, dass Angreifer die Schwachstelle bereits ausnutzen. Die Entwickler geben an, die SicherheitslĂĽcken in HTTP Server 2.4.66 geschlossen zu haben.
Videos by heise
Tika ist über eine „kritische“ Lücke (CVE-2025-54988) attackierbar. Die Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. In diesem Fall können Angreifer Opfern eine präparierte PDF-Datei unterschieben, deren Verarbeitung Fehler auslöst. Das führt zu DoS-Zuständen, können aber auch Informationen leaken. Dagegen soll die Ausgabe 3.2.2 gerüstet sein. Damit der Schutz greift, müssen Nutzer sicherstellen, dass tika-parser-pdf-module und upgrade tika-core auf dem aktuellen Stand sind.
(des)
