Admins sollten ihre auf Apache basierenden Webserver auf den aktuellen Stand bringen. Keine der Lücken ist als "kritisch" eingestuft.

Verschiedene Versionen von Apache HTTP Server sind verwundbar und Angreifer könnten sich beispielsweise höhere Rechte aneignen und Sicherheitsmechanismen umgehen. Insgesamt haben die Entwickler in der aktuellen Ausgabe Apache httpd 2.4.39 sechs Sicherheitslücken geschlossen.

Weitere Infos zu den Lücken und abgesicherten Versionen hat das Apache-Team in einer Sicherheitswarnung aufgelistet. Die Patches für drei Schwachstellen sehen sie als "wichtig" an. Drei Lücken sind mit der Risikobewertung "niedrig" eingestuft

Quelle: Wichtige Sicherheitsupdates für Apache-Webserver | heise online

Wichtige Sicherheitsupdates für Webserver Apache Tomcat

Angreifer könnten Apache Tomcat unter Windows attackieren und Schadcode ausführen. Abgesicherte Versionen sind verfügbar.

Der Open-Source-Webserver Apache Tomcat ist in verschiedenen Versionen unter Windows attackierbar. Nutzen Angreifer die Sicherheitslücke aus (CVE-2019-0232) aus, könnten sie unter gewissen Umständen Schadcode ausführen. Angriffe sind aus der Ferne aber nicht ohne Weiteres möglich, beschreiben die Entwickler in einer Sicherheitswarnung. Die Sicherheitsupdates haben sie als "wichtig" eingestuft.

Betroffen sind die Ausgaben Apache Tomcat 7.0.0 bis 7.0.93, 8.5.0 bis 8.5.39 und 9.0.0M1 bis 9.0.17. Admins sollten die abgesicherten Versionen 7.0.93, 8.5.40 und 9.0.18 installieren.

Angriffe klappen aber nur, wenn die Funktion enableCmdLineArguments aktiviert ist – standardmäßig ist das nicht der Fall. Aufgrund eines Fehlers bei der Übergabe von Befehlen an Windows durch Java Runtime Environment könnte es zur Ausführung von Schadcode kommen. In einem Blog-Beitrag beschreibt der Sicherheitsforscher Markus Wulftange detailliert, wie ein Angriff funktioniert.

Quelle: Wichtige Sicherheitsupdates für Webserver Apache Tomcat | heise online