Mehrere Schwachstellen in Apache-Webserver können Remotecodeausführung ermöglichen

MS-ISAC ADVISORY NUMBER:

2020-108

DATE(S) ISSUED:

08/07/2020

OVERVIEW:

Mehrere Schwachstellen wurden in Apache-Webserver entdeckt, von denen die schwerwiegendste eine Remotecodeausführung ermöglichen könnte. Der Apache-Webserver ist eine Software, die von der Apache Software Foundation als kostenloses Open-Source-Tool für das Hosting von Websites entwickelt wurde. Wenn die schwerwiegendste dieser Schwachstellen erfolgreich ausgenutzt wird, kann ein Angreifer entfernten Code im Kontext der betroffenen Anwendung ausführen. Je nach den mit der Anwendung verbundenen Berechtigungen könnte ein Angreifer Daten anzeigen, ändern oder löschen. Wenn diese Anwendung so konfiguriert wurde, dass sie weniger Benutzerrechte auf dem System hat, könnte die Ausnutzung der schwerwiegendsten dieser Sicherheitsanfälligkeiten weniger Auswirkungen haben, als wenn sie mit administrativen Rechten konfiguriert wurde.

DROHENERKENNTNISSE:

Es gibt derzeit keine Berichte darüber, dass diese Sicherheitslücken in freier Wildbahn ausgenutzt werden.

Betroffene Systeme:

  • Apache Versionen 2.4.43 und früher

RISIKO:

Regierungsbehörden:
  • Große und mittlere Regierungseinrichtungen: HOCH
  • Kleine staatliche Einrichtungen: MITTEL
Unternehmen:
  • Große und mittlere Unternehmen: HOCH
  • Kleine Unternehmen: MITTEL
Heimanwender:

NIEDRIG

TECHNISCHE ZUSAMMENFASSUNG:

Mehrere Schwachstellen wurden im Apache-Webserver entdeckt, von denen die schwerwiegendste eine Remotecodeausführung ermöglichen könnte. Diese Sicherheitslücken können ausgelöst werden, wenn speziell gestaltete Pakete zur Verarbeitung an einen betroffenen Webserver gesendet werden. Details zu den Sicherheitslücken sind wie folgt:

  • Eine mögliche Sicherheitslücke für die entfernte Codeausführung aufgrund eines Pufferüberlaufs mit dem Modul mod_uwsgi. (CVE-2020-11984)
  • Eine Denial-of-Service-Schwachstelle, die ausgelöst wird, wenn Trace/Debugging aktiviert ist. (CVE-2020-11993)
  • Eine Denial-of-Service-Schwachstelle, die ausgelöst wird, wenn ein PUSH-Paket mit dem ‚Cache-Digest‘-Header gesendet wird. (CVE-2020-9490)

Die erfolgreiche Ausnutzung der schwerwiegendsten dieser Sicherheitsanfälligkeiten könnte es einem Angreifer ermöglichen, Remotecode im Kontext der betroffenen Anwendung auszuführen. Je nach den mit der Anwendung verbundenen Berechtigungen könnte ein Angreifer Daten anzeigen, ändern oder löschen. Wenn diese Anwendung so konfiguriert wurde, dass sie weniger Benutzerrechte auf dem System hat, könnte die Ausnutzung der schwerwiegendsten dieser Schwachstellen geringere Auswirkungen haben, als wenn sie mit administrativen Rechten konfiguriert wurde.

EMPFEHLUNGEN:

Wir empfehlen, die folgenden Maßnahmen zu ergreifen:

  • Wenden Sie die von Apache zur Verfügung gestellten Updates auf anfälligen Systemen sofort nach entsprechenden Tests an.
  • Führen Sie die gesamte Software als nicht privilegierter Benutzer (ohne administrative Rechte) aus, um die Auswirkungen eines erfolgreichen Angriffs zu verringern.
  • Konfigurieren Sie die Anwendung wie von Apache vorgeschlagen, um die Schwachstelle zu entschärfen.