Guten Morgen,

vor rund zwei Wochen wurde eine Sicherheitslücke im Apache-Webserver bekannt: CVE-2021-40438. Mit einem CVSS-Score von 9.8 (!) ist dieser Bug als kritisch eingestuft.

Für Ubuntu gab es vor wenigen Tagen bereits die ersten Updates, welche allerdings dazu führten dass PHP-FPM in manchen Konfigurationen nicht mehr funktionierte (Ubuntu Bug #1945311). Nachdem Ubuntu nun die Patches von Debian nachgezogen hat, scheint wieder soweit alles zu funktionieren (auf unseren Ubuntu 16/18/20 Testservern können wir aktuell keine Probleme feststellen).

Für Debian stehen die entsprechenden Updates derzeit noch aus, dürften aber in Kürze auch freigegeben werden (siehe Debian Security-Tracker). Nach dem aktuellen Stand gehen wir davon aus, dass es mit den Debian-Updates (anders als bei Ubuntu) keine Probleme geben sollte. Wir empfehlen aber, eventuelle Updates erst mal nur auf einem Server auszurollen und dort PHP-FPM anschließend zu testen.

Sobald wir weitere Infos haben, werden wir diese hier bekanntgeben.

Viele Grüße

-Klaus Keppler