2021-2074: Apache httpd: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebiger Kommandozeilenbefehle

Historie:

Version 1 (2021-10-05 19:02)

Neues Advisory

Version 2 (2021-10-06 12:11)

Mittlerweile ist bekannt, dass durch Ausnutzung der Schwachstelle CVE-2021-41773 über speziell präpariertte Anfragen an betroffene Webserver auch Kommandozeilenbefehle mit Argumenten ausgeführt werden können. Der Angriff ist trivial, verfügbare Sicherheitsupdates sollten also umgehend eingespielt werden. Für Fedora 34 steht ein Sicherheitsupdate im Status 'pending' zur Verfügung, mit dem Apache httpd auf Version 2.4.50 aktualisiert wird. Das korrespondierende Sicherheitsupdate für Fedora 33 befindet sich aktuell aufgrund von Problemen mit Paketabhängigkeiten im Status 'unpushed'.

Betroffene Software

Server

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Die Apache Software Foundation stellt das offizielle Release Apache httpd 2.4.50 zur Behebung der Schwachstellen bereit. Beide Schwachstellen wurden mit Apache httpd 2.4.49 eingeführt. Die Schwachstelle CVE-2021-41773 wird bereits aktiv ausgenutzt.

Schwachstellen:

CVE-2021-41524

Schwachstelle in Apache httpd ermöglicht Denial-of-Service-Angriff

CVE-2021-41773

Schwachstelle in Apache httpd ermöglicht u. a. Ausführen beliebiger Kommandozeilenbefehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.