Sicherheitsrelevante Information Apache HTTP Server

1. Zusammenfassung der Sicherheitslücke

Die folgenden 2 Sicherheitslücken wurden am gleichen Tag veröffentlicht:

CVE-2021-44224 (veröffentlicht am 20. Dezember 2021. CVSS base score: 8.2)
Diese Sicherheitslücke könnte es einem entfernten Dritten ermöglichen, eine manipulierte URI zu senden, um den http Server zum Absturz zu bringen (Null Pointer dereference), wenn der Server als Forward Proxy konfiguriert ist. Alternativ könnte diese Sicherheitslücke es einem entfernten Dritten ermöglichen, eine manipulierte URI zu senden, um zu einem deklarierten Unix Domain Socket Endpunkt geleitet zu werden (Server Side Request Forgery), wenn der Server mit einem gemischten Forward und Reverse Proxy konfiguriert ist.

Dieses Problem betrifft den Apache HTTP Server, der von der Apache Software Foundation als Open Source bereitgestellt wird, 2.4.7 bis 2.4.51
CVE-2021-44790 (veröffentlicht am 20. Dezember 2021. CVSS base score: 9.8)
Diese Sicherheitslücke könnte es einem entfernten Dritten ermöglichen, sorgfältig gestaltete HTTP-Anfragen zu senden, um einen Pufferüberlauf zu verursachen, wenn der Server so konfiguriert ist, dass er ein bestimmtes Modul "mod_lua" im Apache HTTP Server verwendet, der von der Apache Software Foundation als Open Source bereitgestellt wird.

Dieses Problem betrifft Apache HTTP Server 2.4.51 und frühere Versionen.

Auswirkungen auf unsere Produkte

Es sind keine Produkte von diesen Sicherheitslücken betroffen.

Der Apache HTTP Server wird in unseren Produkten nicht verwendet, mit Ausnahme von aQrate. Die neueste Version von aQrate enthält die betroffene Version des Apache HTTP Server, jedoch sind die entsprechenden Konfigurationen bei der Installation NICHT aktiviert. Funktionen, die von Forward Proxy oder mod_lua bereitgestellt werden, werden in den Produkten nicht verwendet.