Apache updaten: Gefährliches Loch in früheren Versionen entdeckt

Mit der gestern freigegebenen Version 2.4.39 von Apache HTTP Server werden sechs Sicherheitslücken gepatcht. Drei davon wurde vom Apache-Team die Gefahrenstufe "niedrig" zugewiesen. Die drei weiteren werden auch "nur" in die zweithöchste Gefahrenstufe "important" eingeteilt. Trotzdem warnte Mark. J. Fox, einer der Mitgründer der Apache Foundation, in einem Tweet spezifisch vor einer dieser Sicherheitslücken. Er rät vor allem Betreibern von Shared Hosting Services, sofort auf 2.4.39 zu wechseln.
 
Die Lücke betrifft bisherige Versionen ab 2.4.17. Sie ermöglicht es Angreifern theoretisch, "Child"-Prozesse, die eigentlich weniger Berechtigungen hätten, mit den Privilegien ihres "Parent"-Prozesses – oft bedeutet das Root-Access – ausführen zu lassen. Dies könnte vor allem von böswilligen Kunden oder Hackern ausgenützt werden, die auf einer Website PHP- oder CGI-Skripts ausführen können, wie 'The Hacker News' schreibt.. (hjm)