Angreifer haben es derzeit auf Apache Webserver abgesehen. Davon ist aber nur eine bestimmte Version bedroht.
Unter bestimmten Voraussetzungen könnten Angreifer auf Dateien außerhalb des Document-Root-Verzeichnisses von Webservern auf Apache-Basis zugreifen. Genau das soll derzeit passieren. Eine dagegen abgesicherte Version ist bereits erschienen.
Von der Path-Traversal-Lücke (CVE-2021-41773) ist ausschließlich die Apache Server Version 2.4.49 betroffen. Wenn der Schutzmechanismus „require all denied“ nicht aktiv ist, könnten Angreifer mit speziellen URLs Dateien außerhalb des Document-Root-Verzeichnisses einsehen. Die Sicherheitstipps der Entwickler für Apache HTTP Server 2.4 lesen sich so, dass der Sicherheitsmechanismus standardmäßig nicht aktiv ist. Das Apache-Team stuft das Sicherheitsupdate als „wichtig“ ein.
In einer Warnmeldung geben die Entwickler an, die Lücke in Apache HTTP Server 2.4.50 geschlossen zu haben. In der Ausgabe 2.4.49 hat sich noch ein weiterer Fehler eingeschlichen, der in der aktuellen Version bereinigt wurde. Durch das erfolgreiche Ausnutzen der zweiten Lücke (CVE-2021-41524) sollen Angreifer durch präparierte HTTP/2-Anfragen DoS-Zustände auslösen können. Die Entwickler stufen die Bedrohung als „moderat“ ein.
Auf Twitter sind erste Proof-of-Concept-Exploits aufgetaucht. Sie umgehen Apaches Path-Traversal-Schutz mit der Escape-Sequenz %2e anstelle eines Punkts: .
127.0.0.1/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd