Im Apache HTTP Server 2.4 wurden mehrere kritische Sicherheitslücken entdeckt. Die Schwachstellen können zu schweren Sicherheitsproblemen wie Quellcode-Offenlegung, Denial-of-Service (DoS) und Server-Side Request Forgery (SSRF) führen. Hier sind die wichtigsten Details zu diesen Schwachstellen und den entsprechenden Fixes:
Quellcode-Offenlegung durch „AddType“-Konfiguration (CVE-2024-39884)
Diese kritische Schwachstelle in der Version 2.4.60 des Apache HTTP Servers betrifft die Konfiguration von Handlers über „AddType“ und ähnliche Anweisungen. Diese Schwachstelle kann unter bestimmten Umständen, in denen Dateien indirekt angefordert werden, zur Offenlegung von lokalem Quellcode führen. Beispielsweise können PHP-Skripte angezeigt statt interpretiert werden. Dies stellt ein erhebliches Sicherheitsrisiko dar, da vertrauliche Informationen preisgegeben werden können. Die Benutzer werden dringend aufgefordert, auf die Version 2.4.61 zu aktualisieren, die dieses Problem behebt. Die Schwachstelle wurde am 1. Juli 2024 gemeldet und der Fix wurde am 3. Juli 2024 veröffentlicht.
Denial-of-Service durch Null-Pointer-Dereferenzierung bei WebSocket über HTTP/2 (CVE-2024-36387)
In den Versionen 2.4.55 bis 2.4.59 des Apache HTTP Servers wurde eine Schwachstelle entdeckt, die durch eine Null-Pointer-Dereferenzierung ausgelöst wird, wenn WebSocket-Protokoll-Upgrades über eine HTTP/2-Verbindung durchgeführt werden. Diese Schwachstelle kann dazu führen, dass der Serverprozess abstürzt, was zu einem Denial-of-Service führt und die Serverleistung erheblich beeinträchtigt. Der Fix wurde in der Version 2.4.60 implementiert und am 1. Juli 2024 veröffentlicht.
SSRF in Apache HTTP Server auf Windows (CVE-2024-38472)
Eine Server-Side Request Forgery (SSRF)-Schwachstelle in Apache HTTP Server auf Windows-Systemen kann dazu führen, dass NTML-Hashes an bösartige Server geleakt werden. Diese Schwachstelle kann durch bösartige Anfragen oder Inhalte ausgenutzt werden. Betroffene Versionen reichen von 2.4.0 bis 2.4.59. Die Behebung dieser Schwachstelle erfordert ein Update auf Version 2.4.60 und die Konfiguration der neuen Direktive „UNCList“ für die Verarbeitung von UNC-Pfaden. Der Fix wurde am 1. Juli 2024 veröffentlicht.
Proxy-Encoding-Problem (CVE-2024-38473)
Ein weiteres Problem betrifft ein Encoding-Problem im Modul mod_proxy, das es ermöglicht, falsch kodierte URLs an Backend-Dienste zu senden. Dies kann dazu führen, dass Authentifizierungsmechanismen umgangen werden, wenn nicht die typischen ProxyPass/ProxyPassMatch oder RewriteRule mit dem ‚P‘-Flag verwendet werden, sondern andere Mechanismen wie SetHandler oder versehentliches Proxying. Betroffen sind die Versionen 2.4.0 bis 2.4.59. Der Fix wurde in der Version 2.4.60 implementiert.
Schwachstellen in mod_rewrite (CVE-2024-38474, CVE-2024-38475)
Zwei kritische Schwachstellen in mod_rewrite betreffen die Substitution und das Escaping von Ausgaben. Die erste Schwachstelle (CVE-2024-38474) erlaubt es Angreifern, Skripte in konfigurierten, aber nicht direkt erreichbaren Verzeichnissen auszuführen oder Quellcode offenzulegen. Die zweite Schwachstelle (CVE-2024-38475) ermöglicht es, URLs zu Dateisystemorten zuzuordnen, die vom Server bedient werden dürfen, aber nicht absichtlich oder direkt erreichbar sind. Beide Schwachstellen betreffen die Versionen 2.4.0 bis 2.4.59 und wurden in der Version 2.4.60 behoben.
Exploitable/Malicious Backend Application Output (CVE-2024-38476)
Eine Schwachstelle im Kern des Apache HTTP Servers kann zu Information Disclosure, SSRF oder lokaler Skriptausführung führen, wenn Backend-Anwendungen bösartige oder ausnutzbare Antwort-Header liefern. Diese Schwachstelle betrifft die Versionen 2.4.0 bis 2.4.59 und wurde in der Version 2.4.60 behoben.
Absturz durch Denial-of-Service in mod_proxy (CVE-2024-38477)
Eine Null-Pointer-Dereferenzierung in mod_proxy kann den Server durch eine bösartige Anfrage zum Absturz bringen. Diese Schwachstelle betrifft die Versionen 2.4.0 bis 2.4.59 und wurde in der Version 2.4.60 behoben.
Potenzielles SSRF in mod_rewrite (CVE-2024-39573)
Eine potenzielle SSRF-Schwachstelle in mod_rewrite ermöglicht es, dass unsichere Rewrite-Regeln unerwartet URLs durch mod_proxy verarbeiten lassen. Diese Schwachstelle betrifft die Versionen 2.4.0 bis 2.4.59 und wurde in der Version 2.4.60 behoben.
Die Apache Software Foundation rät allen Benutzern, ihre Apache HTTP Server auf die neueste Version 2.4.61 zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen und die Sicherheit ihrer Systeme zu gewährleisten. Ein schnelles Update ist essenziell, um die Integrität und Vertraulichkeit der Serverumgebung zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: