Ein dringend benötigtes Update für den Apache HTTP-Server 2.4.50 wurde veröffentlicht, um eine bereits aktiv ausgenutzte 0-Day-Sicherheitsanfälligkeit (CVE-2021-41773) zu beheben, die den Zugriff auf Dateien außerhalb des Stammverzeichnisses der Website ermöglicht. Durch diese Schwachstelle können beliebige Systemdateien und Quelltexte von Web-Skripten, die für den Benutzer lesbar sind, unter dem Nutzerkonto, unter dem der HTTP-Server läuft, hochgeladen werden. Die Entwickler wurden bereits am 17. September über das Problem informiert, konnten jedoch erst heute ein Update bereitstellen, nachdem erste Fälle der Ausnutzung der Schwachstelle für Angriffe auf Websites dokumentiert wurden.
Die Gefährlichkeit der Schwachstelle wird etwas gemildert, da das Problem nur in der neu veröffentlichten Version 2.4.49 auftritt und nicht alle vorhergehenden Versionen betrifft. In den stabilen Versionen konservativer Server-Distributionen wie Debian, RHEL, Ubuntu und SUSE wurde die Version 2.4.49 noch nicht verwendet. Allerdings betrifft das Problem kontinuierlich aktualisierte Distributionen wie Fedora, Arch Linux und Gentoo sowie Ports von FreeBSD.
Die Schwachstelle wird durch einen Fehler verursacht, der bei der Überarbeitung des Codes zur Normalisierung von Pfaden in URIs auftrat. Dadurch wurde das durch die Sequenz „“ kodierte Punktzeichen im Pfad nicht normalisiert, wenn ihm ein weiterer Punkt voranging. Somit war es möglich, nicht bereinigte Zeichen „..\/“ in den resultierenden Pfad einzufügen, indem im Request die Sequenz „.\/“ angegeben wurde. Zum Beispiel erlaubten Anfragen wie „https://example.com/cgi-bin/././././etc/passwd“ oder „https://example.com/cgi-bin/.////etc/hosts“ den Zugriff auf den Inhalt der Datei „/etc/passwd“.
Das Problem tritt nicht auf, wenn der Zugriff auf die Verzeichnisse ausdrücklich durch die Einstellung „require all denied“ verweigert wird. Beispielsweise kann in der Konfigurationsdatei teilweise Schutz wie folgt angegeben werden: <Directory /> require all denied </Directory>
In der Version Apache httpd 2.4.50 wurde auch eine weitere Schwachstelle (CVE-2021-41524) behoben, die das Modul für das HTTP/2-Protokoll betrifft. Diese Schwachstelle erlaubte es, durch das Senden einer speziell gestalteten Anfrage eine Nullzeiger-Dereferenzierung auszulösen und den Prozess zum Absturz zu bringen. Dieses Problem tritt ebenfalls nur in der Version 2.4.49 auf. Ein möglicher Workaround zum Schutz besteht darin, die Unterstützung für das HTTP/2-Protokoll zu deaktivieren.
Quelle: opennet.ru
