Mehrere kürzlich bekannt gewordene Apache-Schwachstellen gepatcht

Anfang dieses Monats wurde eine weitere Reihe von Sicherheitslücken öffentlich bekannt, diesmal im Apache-Code. Da Apache seit geraumer Zeit der De-facto-Webserver für den Großteil des Internets ist, können selbst geringfügige Schwachstellen, die ihn betreffen, weitreichende Auswirkungen haben.

Die betroffenen Apache-Versionen beginnen bei Version 2.4.0 (eine der vier aufgedeckten Sicherheitslücken betrifft Version 2.4.39) und reichen bis einschließlich Version 2.4.46.

Für Systeme, die mit Extended Lifecycle Support geschützt sind, sind bereits Patches verfügbar.

Schauen wir uns die Schwachstellen genauer an. Die erste wird als CVE-2020-35452 bezeichnet und ist ein potenzieller Stapelüberlauf bei mod_auth_digest mit geringer Auswirkung. Der Beschreibung zufolge wurde die Schwachstelle zwar tatsächlich im Code entdeckt, wäre aber ohne die Verwendung besonderer Compiler-Flag-Einstellungen bei der Kompilierung des Apache-Codes kaum auslösbar. Da das Problem nun aber offenkundig ist und böswillige Akteure, wie sie nun einmal sind, zweifellos nach Möglichkeiten suchen, es auszunutzen. Wenn man sich an frühere Stack Overflow-Schwachstellen erinnert, ist die Umwandlung eines erfolgreichen Angriffs in die Ausführung von beliebigem Code üblich.

CVE-2021-26690 ist eine weitere Schwachstelle mit geringer Auswirkung, diesmal in mod_session, wo eine NULL-Zeiger-Dereferenz Apache zum Absturz bringen und einen Denial-of-Service verursachen kann. Intern hat das TuxCare-Team festgestellt, dass es sich hierbei nicht um eine Schwachstelle mit geringer Auswirkung, sondern zumindest um eine mit mittlerem Risiko handeln sollte. Um die Schwachstelle zu testen, wurde ein Proof-of-Concept entwickelt, bei dem Apache-Kinderprozesse zuverlässig zum Absturz gebracht wurden. Da die Schwachstelle erst vor kurzem entdeckt wurde, ist es möglich, dass der Schweregrad im offiziellen CVE-Eintrag bald erhöht wird.

Eine weitere Schwachstelle mit geringer Auswirkung, die mod_session betrifft, CVE-2021-26691, ist ein Problem mit der Art und Weise, wie Antworten behandelt werden, wenn der Apache mit Backend-Anfrageprozessoren wie PHP kommuniziert. Dies könnte, wenn es ausgenutzt wird, zu einem Heap-Überlauf und möglicher Informationsexfiltration führen. Aufgrund der Art und Weise, wie die Kommunikation zwischen Apache und dem Backend abläuft, lässt sich die Schwachstelle nicht ohne weiteres ausnutzen, und wenn ein Angreifer in der Lage wäre, dies zu tun, wäre ein Angriff auf Apache auf diese Weise eine komplizierte Alternative zu dem, was ihm bereits zur Verfügung steht.

Das letzte Problem in diesem Stapel ist eine mittelschwere Sicherheitslücke (CVE-2021-30641), die durch unerwarteten URL-Abgleich bei Verwendung von "MergeSlashes OFF" in der Konfiguration verursacht wird. Zwar sind noch keine Einzelheiten bekannt, doch könnte die erwähnte Funktion möglicherweise zur Umgehung von Sicherheitsüberprüfungen durch speziell gestaltete URLs führen. In offiziellen Berichten wird nicht erwähnt, dass Ubuntu dafür anfällig ist, aber interne Tests ergaben, dass es tatsächlich anfällig ist, so dass auch für dieses System Patches zur Verfügung gestellt wurden.

Falls Sie nginx statt Apache verwenden, und falls Sie es verpasst haben, wurde Ende letzten Monats eine Sicherheitslücke bekannt gegeben und vom TuxCare-Team behoben. Lesen Sie mehr darüber hier.

Das TuxCare-Team testet wie immer alle Schwachstellen, damit Sie es nicht tun müssen. Wenn Sie bereits Abonnent des Extended Lifecycle Support Service sind, stehen Ihnen die Patches für die betroffenen Systeme bereits zur Verfügung. Wenn Sie weitere Informationen zum Service suchen, finden Sie diese hier.