Kiritsche Schwachstellen im Apache HTTP Server gefunden

Table of Contents

Im Apache HTTP Server 2.4 wurden mehrere kritische Sicherheitslücken entdeckt. Die Schwachstellen können zu schweren Sicherheitsproblemen wie Quellcode-Offenlegung, Denial-of-Service (DoS) und Server-Side Request Forgery (SSRF) führen. Hier sind die wichtigsten Details zu diesen Schwachstellen und den entsprechenden Fixes:

Quellcode-Offenlegung durch “AddType”-Konfiguration (CVE-2024-39884)

Diese kritische Schwachstelle in der Version 2.4.60 des Apache HTTP Servers betrifft die Konfiguration von Handlers über “AddType” und ähnliche Anweisungen. Diese Schwachstelle kann unter bestimmten Umständen, in denen Dateien indirekt angefordert werden, zur Offenlegung von lokalem Quellcode führen. Beispielsweise können PHP-Skripte angezeigt statt interpretiert werden. Dies stellt ein erhebliches Sicherheitsrisiko dar, da vertrauliche Informationen preisgegeben werden können. Die Benutzer werden dringend aufgefordert, auf die Version 2.4.61 zu aktualisieren, die dieses Problem behebt. Die Schwachstelle wurde am 1. Juli 2024 gemeldet und der Fix wurde am 3. Juli 2024 veröffentlicht.

Denial-of-Service durch Null-Pointer-Dereferenzierung bei WebSocket über HTTP/2 (CVE-2024-36387)

In den Versionen 2.4.55 bis 2.4.59 des Apache HTTP Servers wurde eine Schwachstelle entdeckt, die durch eine Null-Pointer-Dereferenzierung ausgelöst wird, wenn WebSocket-Protokoll-Upgrades über eine HTTP/2-Verbindung durchgeführt werden. Diese Schwachstelle kann dazu führen, dass der Serverprozess abstürzt, was zu einem Denial-of-Service führt und die Serverleistung erheblich beeinträchtigt. Der Fix wurde in der Version 2.4.60 implementiert und am 1. Juli 2024 veröffentlicht.

SSRF in Apache HTTP Server auf Windows (CVE-2024-38472)

Eine Server-Side Request Forgery (SSRF)-Schwachstelle in Apache HTTP Server auf Windows-Systemen kann dazu führen, dass NTML-Hashes an bösartige Server geleakt werden. Diese Schwachstelle kann durch bösartige Anfragen oder Inhalte ausgenutzt werden. Betroffene Versionen reichen von 2.4.0 bis 2.4.59. Die Behebung dieser Schwachstelle erfordert ein Update auf Version 2.4.60 und die Konfiguration der neuen Direktive “UNCList” für die Verarbeitung von UNC-Pfaden. Der Fix wurde am 1. Juli 2024 veröffentlicht.

Proxy-Encoding-Problem (CVE-2024-38473)

Ein weiteres Problem betrifft ein Encoding-Problem im Modul mod_proxy, das es ermöglicht, falsch kodierte URLs an Backend-Dienste zu senden. Dies kann dazu führen, dass Authentifizierungsmechanismen umgangen werden, wenn nicht die typischen ProxyPass/ProxyPassMatch oder RewriteRule mit dem ‘P’-Flag verwendet werden, sondern andere Mechanismen wie SetHandler oder versehentliches Proxying. Betroffen sind die Versionen 2.4.0 bis 2.4.59. Der Fix wurde in der Version 2.4.60 implementiert.

Schwachstellen in mod_rewrite (CVE-2024-38474, CVE-2024-38475)

Zwei kritische Schwachstellen in mod_rewrite betreffen die Substitution und das Escaping von Ausgaben. Die erste Schwachstelle (CVE-2024-38474) erlaubt es Angreifern, Skripte in konfigurierten, aber nicht direkt erreichbaren Verzeichnissen auszuführen oder Quellcode offenzulegen. Die zweite Schwachstelle (CVE-2024-38475) ermöglicht es, URLs zu Dateisystemorten zuzuordnen, die vom Server bedient werden dürfen, aber nicht absichtlich oder direkt erreichbar sind. Beide Schwachstellen betreffen die Versionen 2.4.0 bis 2.4.59 und wurden in der Version 2.4.60 behoben.

Exploitable/Malicious Backend Application Output (CVE-2024-38476)

Eine Schwachstelle im Kern des Apache HTTP Servers kann zu Information Disclosure, SSRF oder lokaler Skriptausführung führen, wenn Backend-Anwendungen bösartige oder ausnutzbare Antwort-Header liefern. Diese Schwachstelle betrifft die Versionen 2.4.0 bis 2.4.59 und wurde in der Version 2.4.60 behoben.

Absturz durch Denial-of-Service in mod_proxy (CVE-2024-38477)

Eine Null-Pointer-Dereferenzierung in mod_proxy kann den Server durch eine bösartige Anfrage zum Absturz bringen. Diese Schwachstelle betrifft die Versionen 2.4.0 bis 2.4.59 und wurde in der Version 2.4.60 behoben.

Potenzielles SSRF in mod_rewrite (CVE-2024-39573)

Eine potenzielle SSRF-Schwachstelle in mod_rewrite ermöglicht es, dass unsichere Rewrite-Regeln unerwartet URLs durch mod_proxy verarbeiten lassen. Diese Schwachstelle betrifft die Versionen 2.4.0 bis 2.4.59 und wurde in der Version 2.4.60 behoben.

Die Apache Software Foundation rät allen Benutzern, ihre Apache HTTP Server auf die neueste Version 2.4.61 zu aktualisieren, um diese kritischen Sicherheitslücken zu schließen und die Sicherheit ihrer Systeme zu gewährleisten. Ein schnelles Update ist essenziell, um die Integrität und Vertraulichkeit der Serverumgebung zu schützen.

Related Posts

Datenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich

Auf dem Blog von Günther Born wird berichtet, dass Balkonkfraftwerkbesitzer über die Deye-Cloud auf Solardaten einer fremden Person zugreifen konnte. Die Wechselrichter von Deye, die in vielen Balkonkraftwerken und Solaranlagen in Deutschland eingesetzt werden, sind über das Internet verbunden und speisen Daten in eine Cloud in China. Dies wirft nicht nur erhebliche Datenschutzprobleme auf, da fremde Anlagendaten samt persönlicher Informationen sichtbar wurden, sondern ist über dies noch schlecht programmiert, so dass man Anlagendaten fremder Besitzer angezeigt bekommt. Deye bestritt laut Born das Problem, und verweist darauf, dass die Nutzer die fremden Anlagen selbst angelegt haben sollen.

Read More

USA verbieten Kaspersky-Software

Das US-Handelsministerium hat am 20. Juni 2024 die Nutzung der Kaspersky-Software in den USA untersagt. Die Entscheidung folgt auf Bedenken, dass die Software der russischen Firma ein erhebliches nationales Sicherheitsrisiko darstellt.

Read More

Remote Code Execution in Windows Bluetooth Service möglich

Am 14. März 2023 veröffentlichte Microsoft eine kritische Remote Code Execution Sicherheitslücke im Windows Bluetooth Service. Die Schwachstelle CVE-2023-24871 betrifft die Verarbeitung von Bluetooth Low Energy (BLE) Werbedaten im Windows Bluetooth-Stack. Angreifer können durch Manipulation der Werbedaten einen Intteger-Overflow auslösen, wodurch Daten außerhalb der vorgesehenen Puffergrenzen geschrieben werden. Dies ermöglicht es Angreifern, beliebigen Code auszuführen. Betroffen sind: Der Windows Bluetooth-Stack, einschließlich bthport.sys, Microsoft.Bluetooth.Service.dll, Windows.Internal.Service.dll und dafBth.dll.

Read More