2025-3405: Apache httpd: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff
Historie:
- Version 1 (2025-12-05 13:24)
- Neues Advisory
- Version 2 (2025-12-10 07:23)
- Für Fedora 42 und 43 steht das Paket 'httpd-2.4.66-1' im Status 'testing' bereit, um drei Schwachstellen zu beheben.
- Version 3 (2026-01-26 06:34)
- Für Debian 11 Bullseye (LTS) steht Version 2.4.66-1~deb11u1 von 'apache2' bereit, um die fünf Schwachstellen zu beheben.
Betroffene Software
Server
Betroffene Plattformen
HP
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen Server-Side-Request-Forgery (SSRF)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen, Privilegien zu eskalieren sowie Sicherheitsvorkehrungen zu umgehen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Apache hat ein Sicherheitsupdate in Version 2.4.66 veröffentlicht, welches die Schwachstellen adressiert.
Schwachstellen:
CVE-2025-55753
Schwachstelle in Apache httpd ermöglicht Denial-of-Service-AngriffCVE-2025-58098
Schwachstelle in Apache httpd ermöglicht PrivilegieneskalationCVE-2025-59775
Schwachstelle in Apache httpd ermöglicht Server-Side-Request-Forgery-AngriffCVE-2025-65082
Schwachstelle in Apache httpd ermöglicht PrivilegieneskalationCVE-2025-66200
Schwachstelle in Apache httpd ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.