Unter bestimmten Voraussetzungen könnten Angreifer auf Dateien außerhalb des Document-Root-Verzeichnisses von Webservern auf Apache-Basis zugreifen. Genau das soll derzeit passieren. Eine dagegen abgesicherte Version ist bereits erschienen. Die Path-Traversal-Lücke (CVE-2021-41773) betrifft ausschließlich die Apache-HTTP-Server-Version 2.4.49. Wenn der Schutzmechanismus „require all denied“ nicht aktiv ist, könnten Angreifer mit speziellen URLs Dateien außerhalb des Document-Root-Verzeichnisses einsehen. Die Sicherheitstipps der Entwickler für Apache HTTP Server 2.4 lesen sich so, dass der Sicherheitsmechanismus standardmäßig nicht aktiv ist. Bislang gibt es keine offizielle Einstufung des Schweregrads der Schwachstelle. Das Apache-Team stuft das Sicherheitsupdate als „wichtig“ ein. In einer Warnmeldung geben die Entwickler an, die Lücke in Apache HTTP Server 2.4.50 geschlossen zu haben. In der Ausgabe 2.4.49 hat sich noch ein weiterer Fehler eingeschlichen, der in der aktuellen Version bereinigt wurde. Durch das erfolgreiche Ausnutzen der zweiten Lücke (CVE-2021-41524) sollen Angreifer durch präparierte HTTP/2-Anfragen DoS-Zustände auslösen können. Auch hier steht eine offizielle Einstufung noch aus. Die Entwickler stufen die Bedrohung als „moderat“ ein. Auf Twitter sind erste Proof-of-Concept-Exploits aufgetaucht. Sie umgehen Apaches Path-Traversal-Schutz mit der Escape-Sequenz %2e anstelle eines Punkts: . 127.0.0.1/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd Eine simple Shodan-Suche zeigt, dass im Internet weit über 100.000 Server mit der anfälligen Apache-Version laufen – über 10.000 allein in Deutschland.
