Login und DAV ab Apache 2.4.64 nicht mehr möglich

Matze 2025-10-04 12:11:19 UTC #1

Hallo Zusammen,
auf meinem Debian Bookworm ist der Zugang zur EGroupware nach dem Sicherheitsupate von Apache 2.4.57 auf 2.4.64 nicht mehr möglich. Lediglich der Loginbereich von EGroupware wird angezeigt aber Zugangsdaten nicht angenommen. Der Setup-Bereich ist über Adminrechte erreichbar.

Der Server wurde 2017 für EGroupware aufgesetzt, mit Nextcloud ergänzt und regelmäßig auf Sicherheit geprüft. Hardware: HP ELITEDESK 800, 4x3,2 GHz i5-6500, 32 GB RAM, 4 TB SSD

Meldung beim Apache-Update:

Fixed in Apache HTTP Server 2.4.64

moderate: Apache HTTP Server: HTTP response splitting (CVE-2024-42516)

HTTP response splitting in the core of Apache HTTP Server allows an attacker who can manipulate the Content-Type response headers of applications hosted or proxied by the server can split the HTTP response.

This vulnerability was described as CVE-2023-38709 but the patch included in Apache HTTP Server 2.4.59 did not address the issue.

Users are recommended to upgrade to version 2.4.64, which fixes this issue.
Reported to security team	2024-07-18
Update 2.4.64 released	2025-07-10
Affects	2.4.0 through 2.4.63

low: Apache HTTP Server: SSRF with mod_headers setting Content-Type header (CVE-2024-43204)

SSRF in Apache HTTP Server with mod_proxy loaded allows an attacker to send outbound proxy requests to a URL controlled by the attacker. Requires an unlikely configuration where mod_headers is configured to modify the Content-Type request or response header with a value provided in the HTTP request.

Users are recommended to upgrade to version 2.4.64 which fixes this issue.

Acknowledgements: finder: xiaojunjie@安恒信息杭州市滨江区技能大师工作室
Reported to security team	2024-08-07
2.4.x revision	2025-07-07
Update 2.4.64 released	2025-07-10
Affects	2.4.0 through 2.4.63

moderate: Apache HTTP Server: SSRF on Windows due to UNC paths (CVE-2024-43394)

Server-Side Request Forgery (SSRF) in Apache HTTP Server on Windows allows to potentially leak NTLM hashes to a malicious server via

mod_rewrite or apache expressions that pass unvalidated request input.

This issue affects Apache HTTP Server: from 2.4.0 through 2.4.63.

Note: The Apache HTTP Server Project will be setting a higher bar for accepting vulnerability reports regarding SSRF via UNC paths.

The server offers limited protection against administrators directing the server to open UNC paths.

Windows servers should limit the hosts they will connect over via SMB based on the nature of NTLM authentication.

Acknowledgements: finder: Kainan Zhang (@4xpl0r3r) from Fortinet
Reported to security team	2024-08-10
Update 2.4.64 released	2025-07-10
Affects	2.4.0 through 2.4.63

low: Apache HTTP Server: mod_ssl error log variable escaping (CVE-2024-47252)

Insufficient escaping of user-supplied data in mod_ssl in Apache HTTP Server 2.4.63 and earlier allows an untrusted SSL/TLS client to insert escape characters into log files in some configurations.

In a logging configuration where CustomLog is used with "%{varname}x" or "%{varname}c" to log variables provided by mod_ssl such as SSL_TLS_SNI, no escaping is performed by either mod_log_config or mod_ssl and unsanitized data provided by the client may appear in log files.

Acknowledgements: finder: John Runyon
Reported to security team	2024-09-18
Update 2.4.64 released	2025-07-10
Affects	2.4 through 2.4.63

moderate: Apache HTTP Server: mod_ssl access control bypass with session resumption (CVE-2025-23048)

In some mod_ssl configurations on Apache HTTP Server 2.4.35 through to 2.4.62, an access control bypass by trusted clients is possible using TLS 1.3 session resumption.

Configurations are affected when mod_ssl is configured for multiple virtual hosts, with each restricted to a different set of trusted client certificates (for example with a different SSLCACertificateFile/Path setting). In such a case, a client trusted to access one virtual host may be able to access another virtual host, if SSLStrictSNIVHostCheck is not enabled in either virtual host.

Acknowledgements: finder: Sven Hebrok, Felix Cramer, Tim Storm, Maximilian Radoy, and Juraj Somorovsky at Paderborn University
Reported to security team	2024-11-25
Update 2.4.64 released	2025-07-10
Affects	2.4.35 through 2.4.63

low: Apache HTTP Server: mod_proxy_http2 denial of service (CVE-2025-49630)

In certain proxy configurations, a denial of service attack against Apache HTTP Server versions 2.4.26 through to 2.4.63 can be triggered by untrusted clients causing an assertion in mod_proxy_http2.

Configurations affected are a reverse proxy is configured for an HTTP/2 backend, with ProxyPreserveHost set to "on".

Acknowledgements: finder: Anthony CORSIEZ
Report received	2025-06-04
Update 2.4.64 released	2025-07-10
Affects	2.4.26 through 2.4.63

moderate: Apache HTTP Server: mod_ssl TLS upgrade attack (CVE-2025-49812)

In some mod_ssl configurations on Apache HTTP Server versions through to 2.4.63, an HTTP desynchronisation attack allows a man-in-the-middle attacker to hijack an HTTP session via a TLS upgrade.

Only configurations using "SSLEngine optional" to enable TLS upgrades are affected. Users are recommended to upgrade to version 2.4.64, which removes support for TLS upgrade.

Acknowledgements:

    finder: Robert Merget (Technology Innovation Institute)
    finder: Nurullah Erinola (Ruhr University Bochum)
    finder: Marcel Maehren (Ruhr University Bochum)
    finder: Lukas Knittel (Ruhr University Bochum)
    finder: Sven Hebrok (Paderborn University)
    finder: Marcus Brinkmann (Ruhr University Bochum)
    finder: Juraj Somorovsky (Paderborn University)
    finder: Jörg Schwenk (Ruhr University Bochum)

Report received	2025-04-22
Update 2.4.64 released	2025-07-10
Affects	through 2.4.63

moderate: Apache HTTP Server: HTTP/2 DoS by Memory Increase (CVE-2025-53020)

Late Release of Memory after Effective Lifetime vulnerability in Apache HTTP Server.

This issue affects Apache HTTP Server: from 2.4.17 up to 2.4.63.

Users are recommended to upgrade to version 2.4.64, which fixes the issue.

Acknowledgements: finder: Gal Bar Nahum
Reported to security team	2025-06-18
fix developed	2025-06-19
Update 2.4.64 released	2025-07-10
Affects	2.4.17 through 2.4.63

Es sieht so aus, als würde die Verbindung zwischen Apache und NGINX nicht zustandekommen, bzw. abgelehnt.

Laut Internetrecherchen sollen ab Apache 2.4.64 Verbindungen zu Proxys in den V-Hosteinstellungen nachträglich verschlüsselt werden; sind es aber zwischen dem Docker NGINX und Apache2 bei der EGroupware-Installation doch laut FAQ und NGINX.conf und Apache.conf sowieso schon lange, wenn ich es recht verstehe?

Die Verschlüsselung erfolgt über LetsEncrypt, was ebenfalls tadellos bislang mit EGroupware im Docker local wie Extern tat und weiterhin mit einer parallelen Nextcloud-Installation auf dem Server tut.

Testweise Ergänzung der NGINX.conf:

#NGINX - SNI Eintrag für Apache 2.4.64 und größer
proxy_ssl_server_name on;
proxy_ssl_name $host;
proxy_ssl_session_reuse off;

Ein Downgrade von Apache2 geht nur bis Version 2.4.64; derzeit ist - testweise - 2.4.65 installiert.

Mir gehen nach zwei Tagen Sucherei die Ideen aus. Hätte jemand einen Vorschlag/Lösungsansatz?

Schöne Grüße, Matthias Leber

StefanU 2025-10-04 16:04:41 UTC #2

Hi Matthias.

Der Apache ist also der Reverse-Proxy auf deinem EGroupware-Host?

Ich würde vermuten, du hast mit dem Apache-Update auch eine Standard-Config eingespielt? Hattest du die Frage danach bekommen oder verwendest du für die Software-Pflege ein “Hilfsmittel”, welches die Frage nach dem Einspielen der Maintainer-Config automatisch mit ja beantwortet?
Eigentlich wird aber die überschriebene Config irgendwo gespeichert.

Wir liefern mit EGroupware Konfigs für Nginx (Standard) und Apache aus. Die liegen in
/etc/egroupware-docker/
Dort findest du also die apache.conf.
Die muss in deine Apache-Reverse-Proxy eingebunden sein. Wenn du da mal reinschaust, ahnst du auch wozu die da ist und dass ggf. ohne die Config so etwas wie *DAV nicht funktioniert.

Die Apache-EGroupware-Konf wird in
/etc/apache2/sites-enabled/000-default.con
eingebunden.

Habe gerade EGw auf einem Debian 12 mit Apache als Reverse-Proxy installiert: Läuft wie es soll (meine ich).

Grundsätzlich würde ich anraten, das System vor Updates zu sichern. Dann kann man fix zurück rollen, in Ruhe überlegen und noch einmal probieren.

Du kannst aber auch professionellen Support kaufen um nicht deine kostbare Zeit zu opfern.

Stefan

Matze 2025-10-05 11:14:28 UTC #3

Hallo Stefan,
vielen Dank für die superschnelle Antwort und deinen Installationstest.

Ich nutze EGroupware von Beginn an, zeitweilig auch als EPL-Kunde, Ihr macht eine super Arbeit (muss mal wieder gesagt werden).

Zu deinen Fragen:

Die in /etc/apache2 liegende apache2.conf baut auf einer Standardkonfiguration von 2020, mit einigen Anpassungen für Nextcloud und etwas Systemhärtung auf. Eine apache2.conf.dist von 2024 liegt nach dem seinerzeitigen Systemupgrade auf Bookworm noch im Ordner, wurde aber nicht aktiviert nach dem Motto “never change a running system”.

Ich hätte bei dem Update auf 2.4.64 erwartet, daß bei einer solch grundlegenden Änderung von Proxyeinbindungen eine neue apache2.conf mit generiert würde; zumindest aber eine pragmatische Dokumentation aufzufinden wäre; Fehlanzeige.
Reinstallationen mit Aptitude der 2.4.65 und nach Downgrade auf die 2.4.65er Version brachten zur Abprüfung ob ich etwas übersehen hatte keine Lösung.

Die Einspielung erfolgte klassisch per APT. Die Frage nach der Einspielung der 2.4.64 wurde manuell bestätigt; ausgehend davon, daß im APT-Cache zunächst noch die Vorversion 2.4.57 zum Downgrade liegt. Letztere wurde durch den Versuch von 2.4.64 auf 2.4.65 upzudaten natürlich überschrieben.
Die Arbeitsdaten wie die Datenbank und die Backups wurden vorab natürlich gesichert.

Die beiden Einbindungen für EGroupware liegen in der V-Host vom Apache und werden auch bis zum Loginbereich angesprochen. Erst danach wird die Verbindung augenscheinlich abgewürgt.

Auszug des Default V-Host 443:

#Include conf-available/serve-cgi-bin.conf

ServerName xxxxx.dyndns.org
SSLCertificateFile /etc/letsencrypt/live/xxxxx.dyndns.org/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/xxxxx.dyndns.org/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
Collabora proxy needs to be included inside vhost

include /etc/egroupware-collabora-key/apache.conf

EGroupware proxy needs to be included inside vhost

include /etc/egroupware-docker/apache.conf

In der NGINX hatte ich daher auch mit den weiter oben im Tread aufgeführten Einträgen für die proxy_ssl “gespielt”; brachte aber nichts.

Die Durchsicht der Log-Fils brachte auch keine heiße Spur. Erst ein Tip zum direkten Ansprechen der Verbindung brachte etwas Dunkel ins Licht:

curl lIkH ‘host:xxxxx.dyndns.org’ https://192.168.2.101

curl: (6) Could not resolve host: lIkH
curl: (3) URL using bad/illegal format or missing URL
curl: (60) SSL: no alternative certificate subject name matches target host name '192.168.2.101’
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Ich gehe nach meiner Recherche davon aus, daß Änderungen einzelne Configs für sich genommen nicht weiterführen und nur in Summe eines neuen Zertifikats für die serverinterne Kommunikation zwischen Apache und NGINX sowie Anpassung derer Configs zum Ziel führen. Zumindest deuten die Änderungseinträge auf der Apache.org Seite und einige wenige Forenbeiträge im Netz darauf hin.

Ich hab ein Support-Ticket gebucht, da mir jetzt die Zeit und ein weiterer Stillstand der EGroupware fehlt.

Gruß, Matthias