Durch eine Sicherheitslücke im Apache-Webserver können sich Nutzer mit Hilfe von CGI- oder PHP-Skripten Root-Rechte erschleichen. Deshalb hat Apache jetzt ein Update bereitgestellt.

Die Entwickler des Apache-Webservers schließen mit der neuen Version 2.4.39 insgesamt sechs Sicherheitslücken.

Eine dieser Schwachstellen ist besonders für Server mit mehreren Benutzern recht gefährlich. Ein Benutzer, der im Kontext des Webservers CGI- oder PHP-Skripte ausführen darf, kann über diese Sicherheitslücke Root-Rechte erlangen.

Zu dieser Sicherheitslücke sind bisher erst wenige Details bekannt. Der Beschreibung kann man aber entnehmen, dass es sich wohl um ein Problem im sogenannten „Scoreboard“ des Apache handelt, das es erlaubt, Informationen zu aktuellen HTTP-Anfragen und zur Auslastung des Servers abzufragen.

Die weiteren geschlossenen Lücken

Einige der weiteren mit Apache 2.4.39 geschlossenen Sicherheitslücken sind durchaus problematisch. So erlaubt es eine Race-Condition unter Umständen, die HTTP-Authentifizierung durch die Digest-Methode zu umgehen, womit Bereiche eines Webservers mit einem Passwort geschützt werden können.

Die Nutzer eines älteren Apache-Webservers sollten möglichst zügig die aktuelle Version 2.4.39 installieren. Besonders bei Webhosting-Unternehmen, bei denen sich häufig mehrere Nutzer eine Apache-Installation teilen, ist das Update kritisch. Von den gängigen Linux-Distributionen gibt es bisher noch keine Updates.