G 5.109 Ausnutzen systemspezifischer Schwachstellen beim Apache-Webserver
Wie jede Software ist auch der Apache-Webserver nicht frei von Schwachstellen und Programmierfehlern. Insgesamt ist der Apache-Webserver zwar von so spektakulären Vorfällen wie dem Nimda-Wurm bisher weitgehend verschont geblieben, jedoch trat beispielsweise im Herbst 2002 der Wurm Slapper auf, der sich eine Sicherheitslücke in der OpenSSL-Bibliothek zu Nutze machte und sich über Apache-Webserver verbreitete, die SSL benutzten. Systemspezifische Schwachstellen beim Apache-Webserver finden sich entweder im eigentlichen Webserver oder in Modulen wie mod_ssl, mod_dav, mod_rewrite, mod_php oder ähnlichen Erweiterungen.
Durch Ausnutzen von Schwachstellen (beispielsweise Buffer-Overflows) im Apache-Webserver oder in Erweiterungsmodulen können Angreifer im Extremfall den Serverrechner kompromittieren. Da der Apache-Webserver meist unter einem nicht privilegierten Account läuft, ist zwar das direkte Erlangen von root- oder Administratorrechten meist nicht möglich, hat ein Angreifer aber bereits einen Zugang zum Serverrechner selbst erlangt, so kann er durch Ausnutzen lokaler Schwachstellen des Betriebssystems oder anderer installierter Programme oft recht leicht erweiterte Berechtigungen erlangen.
Selbst wenn für eine Schwachstelle kein Exploit bekannt ist, der dadurch, dass ein Angreifer eigenen Code auf dem Serverrechner ausführen kann, zu einer Kompromittierung des Rechners führt, können Buffer-Overflows und ähnliche Schwachstellen dazu ausgenutzt werden, den Apache-Webserver zum Absturz zu bringen und so einen Denial-of-Service herbei zu führen.
Schwachstellen im Apache-Webserver oder in Erweiterungsmodulen können auch dazu führen, dass Zugriffsbeschränkungen umgangen werden können und so eventuell vertrauliche Dateien an unberechtigte Besucher ausgeliefert werden. Außerdem ist es möglich, dass durch eine Sicherheitslücke Konfigurationsinformationen (wie Installationspfade oder Systempfade zu WWW-Dateien) nach außen gelangen. Solche Informationen können Angriffe erleichtern, da die Angreifer in einem solchen Fall keine Pfade durchprobieren müssen.