Achtung: Gravierende Löcher in neuer Apache-Version

7. Oktober 2021, 10:04
  • security
  • breach
  • lücke
  • apache
image

Eine der Sicherheitslücken in der erst 3 Wochen alten Apache-Version wird bereits ausgenutzt.

Security-Experten haben 2 Sicherheitslücken in der vor knapp 3 Wochen, am 15. September 2021, veröffentlichten Version 2.4.49 des Apache Webservers entdeckt. Deshalb hat die Apache Foundation bereits am 4. Oktober eine weitere Version veröffentlicht, 2.4.50, in der die beiden Lücken behoben sind.
Nachdem die Security-Forscher diese Lücken gefunden und gemeldet hatten, hat die Foundation also sehr schnell reagiert. Die Meldung zur ersten Lücke erhielt sie nach eigenen Angaben am 17. September, von der zweiten Lücke erfuhr die Apache Foundation am 29. September.
In früheren Versionen existieren die beiden Sicherheitslücke noch nicht. Für einmal sind also nicht die Anwender gefährdet, die sich mit dem Einspielen neuer Versionen Zeit lassen, sondern die Anwender, die sehr schnell waren. Diese sollten nun schleunigst ein weiteres Update auf die noch neuere Version 2.4.50 durchführen.
Die eine Lücke, CVE-2021-41524  erlaubt DoS-Angriffe. Server können durch speziell gestaltete Requests lahmgelegt werden. Die zweite Lücke, CVE-2021-41773, ist schwerwiegender und könnte es Angreifern erlauben, Zugriff auf vertrauliche Dokumente oder Source-Code zu erhalten, falls die Apache-Anwender nicht die Einstellung "require all denied" vorgenommen haben. Hacker versuchen laut der Apache Foundation bereits, diese zweite Lücke aktiv auszunutzen.

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022