HTTP Server

Die Schwachstelle steckt im Apache HTTP Server und geht auf eine Änderung an der Pfad-Normalisierung zurück. Durch diesen Fehler kann ein Angreifer mit einem Path-Traversal-Angriff URLs gezielt so manipulieren, dass sie auf Dateien außerhalb der Verzeichnisse verweisen, die über Alias-artige Direktiven freigegeben sind. Greift für diese Bereiche nicht die übliche Standard-Schutzregel, die den Zugriff grundsätzlich verweigert, lassen sich solche Anfragen erfolgreich ausführen – der Angreifer kann also auf eigentlich geschützte Dateien außerhalb des Web-Verzeichnisses zugreifen. Sind für die betroffenen Pfade zusätzlich CGI-Skripte aktiviert, lässt sich der Fehler noch weiter ausnutzen: Dann ist sogar das Ausführen von beliebigem Code aus der Ferne möglich, womit der Angreifer die Kontrolle über den Server erlangen kann. Betroffen ist ausschließlich die fehlerhafte Programmversion, nicht die früheren Ausgaben.