Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1443 Apache Software Foundation HTTP-Server: Mehrere Schwachstellen ermöglichen u.a. die Durchführung von Denial-of-Service-Angriffen [Linux][RedHat][SuSE][Netzwerk]

13.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.09.2017):
Für SUSE OpenStack Cloud 6 sowie SUSE Linux Enterprise Server for SAP 12
SP1 und Server 12 SP1 LTSS stehen Sicherheitsupdates zur Behebung der
Schwachstellen CVE-2017-3167, CVE-2017-3169, CVE-2017-7679 und
CVE-2017-9788 bereit.
Version 2 (17.08.2017):
Für die Red Hat Software Collections 1 für RHEL 6 und 7 steht ein Update
für 'httpd24-httpd' zur Verfügung, mit dem neben den bisher referenzierten
Schwachstellen auch die Denial-of-Service-Schwachstelle CVE-2017-7659
behoben wird.
Version 1 (16.08.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation HTTP-Server


Betroffene Plattformen:

SUSE OpenStack Cloud 6
Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7
SUSE Linux Enterprise Server 12 SP1 LTSS
SUSE Linux Enterprise Server for SAP 12 SP1
Oracle Linux 6
Oracle Linux 7
Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7



Mehrere Schwachstellen in Apache Software Foundation HTTP-Server ermöglichen
einem entfernten, nicht authentisierten Angreifer verschiedene
Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen und das
Umgehen von Sicherheitsvorkehrungen.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten
Server, Workstation, Desktop und Linux for Scientific Computing sowie für
Compute Node 7.4 Extended Update Support (EUS) und die Server 7.4
Produktversionen Extended Update Support (EUS), Advanced Update Support
(AUS) und Telco Update Support (TUS) Sicherheitsupdates für 'httpd' bereit.
Die Schwachstelle CVE-2017-7668 wird von den Sicherheitsupdates für Red Hat
Enterprise Linux 6 nicht adressiert.

Oracle stellt für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64)
Sicherheitsupdates für 'httpd' bereit. Das Sicherheitsupdate für Oracle
Linux 6 adressiert die Schwachstelle CVE-2017-7668 nicht.


Patch:

Oracle Linux Security Advisory ELSA-2017-2478

<https://linux.oracle.com/errata/ELSA-2017-2478.html>

Patch:

Oracle Linux Security Advisory ELSA-2017-2479

<https://linux.oracle.com/errata/ELSA-2017-2479.html>

Patch:

Red Hat Security Advisory RHSA-2017:2478

<https://access.redhat.com/errata/RHSA-2017:2478>

Patch:

Red Hat Security Advisory RHSA-2017:2479

<https://access.redhat.com/errata/RHSA-2017:2479>

Patch:

Red Hat Security Advisory RHSA-2017:2483

<https://access.redhat.com/errata/RHSA-2017:2483>

Patch:

SUSE Security Update SUSE-SU-2017:2449-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003212.html>


CVE-2017-9788: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Ausspähen von Informationen

Der Werteplatzhalter in Proxy-Authorization-Kopfdaten des Typs 'Digest' wird
vor oder zwischen aufeinanderfolgenden Zuweisungen der Art 'key=value' von
'mod_auth_digest' nicht initialisiert oder zurückgesetzt. Durch eine
geeignete Anfrage lässt sich so der Zustandswert aus dem geteilten Speicher
aus einer vorherigen Anfrage in Erfahrung bringen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch möglicherweise sensitive
Informationen ausspähen. Die Folge eines solchen Zugriffs kann auch eine
Zugriffsverletzung sein (Segmentation Fault), wodurch ein Denial-of-Service
(DoS)-Angriff möglich ist.


CVE-2017-7679: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff oder Ausspähen von Informationen

Eine Schwachstelle in Apache HTTP-Server (httpd) bewirkt, dass 'mod_mime'
beim Versenden eines bösartig präparierten Content-Type-Response-Headers ein
Byte über das Ende eines Pufferspeichers lesen kann (Buffer Overrread). Ein
entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen der
Schwachstelle eine Speicherschutzverletzung (Segmentation Fault) auslösen,
wodurch ein Denial-of-Service (DoS)-Zustand eintritt, oder Informationen
ausspähen.


CVE-2017-7668: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff oder Ausspähen von Informationen

Mit den in den Apache HTTP-Server (httpd) Versionen 2.2.32 und 2.4.24
durchgeführten Änderungen zur 'HTTP Strict'-Verarbeitung wurde eine
Schwachstelle in die Token-Listen Verarbeitung eingeführt, welche es der
Funktion 'ap_find_token()' ermöglicht über das Ende einer eingegebenen
Zeichenkette hinaus zu suchen (Buffer Overread). Ein entfernter, nicht
authentisierter Angreifer kann dies über eine bösartig präparierte Sequenz
von Anfrage-Headern ausnutzen und eine Speicherschutzverletzung
(Segmentation Fault) auslösen, wodurch ein Denial-of-Service (DoS)-Zustand
eintritt, oder die Funktion 'ap_find_token()' zwingen falsche Werte zurück
zu liefern, wodurch er Informationen ausspähen kann.


CVE-2017-7659: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

In Apache HTTP-Server (httpd) existiert eine nicht näher beschriebene
Schwachstelle, die es ermöglicht über eine bösartig präparierte
HTTP/2-Anfrage eine NULL-Zeiger-Dereferenzierung in 'mod_http2' zu
provozieren, wodurch der Server-Prozess zum Absturz gebracht werden kann
(Denial-of-Service). Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service (DoS)-Angriff durchführen.


CVE-2017-3169: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

Ruft ein Drittanbieter-Modul in Apache HTTP-Server (httpd) die Funktion
'ap_hook_process_connection()' auf, wenn eine HTTP-Anfrage auf einem
HTTPS-Port eingeht, kann eine NULL-Zeiger-Dereferenzierung durch 'mod_ssl'
provoziert werden. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service (DoS)-Angriff durchführen.


CVE-2017-3167: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Wird die Funktion 'ap_get_basic_auth_pw()' durch Drittanbieter-Module
außerhalb der Authentifizierungsphase verwendet, ist es möglich
Authentifizierungsanforderungen in Apache HTTP-Server (httpd) zu umgehen.
Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1443/>

Schwachstelle CVE-2017-3167 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3167>

Schwachstelle CVE-2017-3169 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3169>

Schwachstelle CVE-2017-7659 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7659>

Schwachstelle CVE-2017-7668 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7668>

Schwachstelle CVE-2017-7679 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7679>

Schwachstelle CVE-2017-9788 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9788>

Oracle Linux Security Advisory ELSA-2017-2478:
<https://linux.oracle.com/errata/ELSA-2017-2478.html>

Oracle Linux Security Advisory ELSA-2017-2479:
<https://linux.oracle.com/errata/ELSA-2017-2479.html>

Red Hat Security Advisory RHSA-2017:2478:
<https://access.redhat.com/errata/RHSA-2017:2478>

Red Hat Security Advisory RHSA-2017:2479:
<https://access.redhat.com/errata/RHSA-2017:2479>

Red Hat Security Advisory RHSA-2017:2483:
<https://access.redhat.com/errata/RHSA-2017:2483>

SUSE Security Update SUSE-SU-2017:2449-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003212.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.