Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Apache Software Foundation Apache HTTP Server <= 2.4.9 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Durch mehrere Schwachstellen im Apache HTTP Server ist es einem entfernten, nicht authentifizierten Angreifer möglich, einen Denial-of-Service-Zustand zu verursachen, Speicher auszulesen oder weitere Angriffe durchzuführen. Patch: Apache Security Advisory Apache-HTTPD-ADV-2.4.10-dev https://httpd.apache.org/security/vulnerabilities_24.html
CVE-2014-3523: Apache HTTP Server: Schwachstelle im Multi-Processing Modul
Das Multi-Processing Modul (MPM) ist für WinNT Betriebsystem standardmäßig
aktiviert. Bei Verwendung der Standardeinstellungen für die Direktive
AcceptFilter unter diesem Betriebssystem besteht eine Schwachstelle für das
MPM. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
unter Verwendung speziell modifizierten Abfragen zum Hervorrufen von Fehlern
in der Speicherverwaltung und so zu einem Denial-of-Service-Angriff nutzen.
CVE-2014-0231: Schwachstelle in “mod_cgid” erlaubt Denial-of-Service
Eine Schwachstelle besteht in “mod_cgid”, wenn ein Server “mod_cgid”
gehostede CGI-Skripte verwendet, welche keine Standardeingaben verarbeiten.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um den Kind-Prozess zum Hängen zu bringen, d. h. einen
Denial-of-Service-Zustand zu verursachen.
CVE-2014-0226: Race-Condition-Schwachstelle in “mod_status”
Eine Race-Condition wurde in “mod_status” gefunden. Ein entfernter, nicht
authentisierter Angreifer, der in der Lage ist, eine öffentliche Statusseite
eines Servers aufzurufen, welcher verkettete Multi-Processing-Module (MPM)
verwendet, kann diese Schwachstelle ausnutzen, indem er einen speziell
präparierten Request sendet, um einen Überlauf des Heap-Speichers zu
verursachen (“heap buffer overflow”), wodurch weitere nicht spezifizierte
Angriffe möglich werden. Anmerkung: Normalerweise sollten Serverstatusseiten
nicht öffentlich erreichbar gemacht werden.
CVE-2014-0118: Schwachstelle in “mod_deflate” erlaubt Denial-of-Service
Eine Schwachstelle in “mod_deflate” führt zum Verbrauch von Ressourcen. Wenn
“request body decompression” konfiguriert ist, unter Verwendung des
“DEFLATE”-Eingabefilters, kann diese Schwachstelle von einem entfernten,
nicht authentisierten Angreifer ausgenutzt werden, um den Server dazu zu
bringen, signifikant Speicher und/oder Prozessor (CPU)-Ressourcen zu
verbrauchen. Die Verwendung von “request body decompression” ist keine
übliche Konfiguration.
CVE-2014-0117: Schwachstelle in “mod_proxy” erlaubt Denial-of-Service
Eine Schwachstelle in “mod_proxy” erlaubt einem entfernten, nicht
authentisierten Angreifer, indem er einen speziell präparierten Request an
einen Server sendet, der als “Reverse Proxy” konfiguriert ist, den
Kind-Prozess zum Absturz zu bringen, wodurch ein Denial-of-Service-Angriff
gegen ein verkettetes Multi-Processing-Modul (MPM) durchgeführt werden kann.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0926/
Apache Security Advisory Apache-HTTPD-ADV-2.4.10-dev:
https://httpd.apache.org/security/vulnerabilities_24.html
Schwachstelle CVE-2014-0117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0117
Schwachstelle CVE-2014-0118 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0118
Schwachstelle CVE-2014-0226 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0226
Schwachstelle CVE-2014-0231 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0231
Schwachstelle CVE-2014-3523 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3523
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
