Apache 2.4.52 dichtet Sicherheitslecks ab

Angreifer könnten Apache-Server abstürzen lassen oder eine Sicherheitslücke möglicherweise für Schlimmeres missbrauchen. Die Schwachstellen dichtet die aktuelle Apache-Version 2.4.52 ab. Eines der Lecks stufen die Entwickler als moderates Risiko ein, ein Zweites hingegen als "hohe" Gefahr. Administratoren sollten die Aktualisierung rasch installieren.

Schwachstellen-Details

Die schwerwiegendere Lücke betrifft den LUA-Skript-Parser mod_lua (CVE-2021-44790, Risiko hoch). Durch eine manipulierte Anfrage aus LUA-Skripten heraus hätten Angreifer einen Pufferüberlauf beim Aufruf von r:parsebody() auslösen können. Solche Pufferüberläufe lassen sich allgemein oftmals etwa zum Ausführen eingeschleusten Codes missbrauchen. Dem Apache-Projekt sind noch keine Exploits für diese Schwachstelle bekannt. Die Entwickler schätzen jedoch, dass es möglich sei, einen dafür zu bauen.

Wenn Apache als Forward-Proxy konfiguriert ist, könnten Angreifer mit dem Senden einer manipulierten URI einen Absturz aufgrund einer sogenannten Null-Pointer-Dereferenz auslösen (CVE-2021-44224, moderat). So ein Zeiger weist bereits ins digitale Nirvana (NULL), was ihn ungültig macht; eine weitere Dereferenzierung führt in der Regel zum Absturz der Software. Arbeitet Apache hingegen als Forward- und Reverse-Proxy, kann das eine Server Side Request Forgery (SSRF) provozieren, wodurch ein Angreifer unbefugt Zugriffe auf Ressourcen des Servers oder weiterer Systeme erlangen könnte.

Abhilfe

Betroffen sind von der ersten Lücke alle Apache-Versionen bis 2.4.51. Bei der zweiten Schwachstelle schreiben die Apache-Entwickler in ihrer Sicherheitsmeldung, dass die Versionen zwischen 2.4.7 und 2.4.51 verwundbar seien. Die jetzt veröffentlichte Apache-Version 2.4.52 behebt beide Fehler. IT-Verantwortliche und Administratoren sollten aktualisierte Pakete zeitnah einspielen.

Lesen Sie auch

Themenseite Linux und OpenSource auf heise online

(dmk)