Angreifer können an mehreren Sicherheitslücken ansetzen, um Computer mit Apache HTTP Server oder Tika zu attackieren. Die Beschreibungen der Lücken lesen sich so, als könnten Angreifer Systeme im schlimmsten Fall kompromittieren.
Mit Tika extrahiert man Metadaten aus Dokumenten. HTTP Server ist ein weitverbreiteter Webserver. Vor allem im letztgenannten Fall können erfolgreiche Attacken weitreichende Folgen haben, wenn Angreifer die Kontrolle über Server erlangen.
In einer Warnmeldung für HTTP Server listen die Entwickler fünf geschlossene Lücken auf. Offensichtlich steht die Einstufung der Bedrohungsgrade noch aus. Das Notfallteam CERT Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Gefahr als „kritisch“ ein.
Dabei kann es unter anderem im Kontext von ACME-Zertifikaten zu Speicherfehlern kommen (CVE-2025-55753). Das führt in der Regel zu Abstürzen (DoS-Attacke) oder es kann sogar Schadcode auf Systeme gelangen. Diese Lücke wurde bereits im August dieses Jahres gemeldet. Ein Sicherheitsupdate gibt es aber erst jetzt. Bislang gibt es keine Berichte, dass Angreifer die Schwachstelle bereits ausnutzen. Die Entwickler geben an, die Sicherheitslücken in HTTP Server 2.4.66 geschlossen zu haben.
Tika ist über eine „kritische“ Lücke (CVE-2025-54988) attackierbar. Die Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. In diesem Fall können Angreifer Opfern eine präparierte PDF-Datei unterschieben, deren Verarbeitung Fehler auslöst. Das führt zu DoS-Zuständen, können aber auch Informationen leaken. Dagegen soll die Ausgabe 3.2.2 gerüstet sein. Damit der Schutz greift, müssen Nutzer sicherstellen, dass tika-parser-pdf-module und upgrade tika-core auf dem aktuellen Stand sind.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo