Kritische Sicherheitslücke in Apache-Webserver entdeckt

Angreifer können durch Ausnutzen der Schwachstelle die komplette Kontrolle über ein Windows-System übernehmen. Experten stufen den Fehler als einen der schlimmsten Apache-Bugs der letzten Jahre ein. Ein Update auf Version 2.2.15 soll das Problem beheben.

Die australische IT-Sicherheitsfirma Sense of Security hat nach eigenen Angaben einen schweren Fehler im Apache-Webserver entdeckt. Angreifer können die Sicherheitslücke angeblich ausnutzen, um die vollständige Kontrolle über ein Server-System zu übernehmen.

Brett Gervasoni von Sense of Security hat den Fehler laut einer Sicherheitsmitteilung im Apache-Modul „mod_isapi“ der Versionen 2.2.14 und früher ausgemacht. Ein Update auf Version 2.2.15 soll das Problem beheben.

„Wir haben einen Proof-of-Concept-Exploit geschrieben. Es ist durchaus möglich, dass andere einen ähnlichen Exploit konstruieren, mit dem man ein Windows-System komplett kompromittieren kann“, so Gervasoni.

Sense-of-Security-Sprecher Jason Edelstein zufolge handelt es sich bei der Sicherheitslücke um einen der schlimmsten Apache-Bugs in den vergangenen Jahren. „Die Schwachstelle ermöglicht es, über ein Netzwerk die komplette Kontrolle eines Servers mit Systemberechtigung zu übernehmen – das ist die höchste Berechtigungsstufe in Windows.“

Apache-Anwendern hätten keine Chance, herauszufinden, ob ihr System bereits kompromittiert worden sei, so Edelstein. „Früher war es leichter zu erkennen. Angreifer haben die betroffenen Sites verunstaltet. Jetzt ist es wahrscheinlicher, dass sie ihr Eindringen verschleiern, um den Zugang zum Server zu behalten.“

Angreifer könnten laut Edelstein die Sicherheitslücke ausnutzen, um versteckte Programme zu platzieren, die Kreditkartendaten stehlen, oder um ein Rootkit in die gehackte Site einzuschmuggeln.

Themenseiten: Hacker, Server, Servers

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kritische Sicherheitslücke in Apache-Webserver entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *