DFN-CERT-2014-1691 Apache HTTP-Server: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsmaßnahmen [Linux][Fedora]

DFN-CERT-2014-1691 Apache HTTP-Server: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsmaßnahmen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Apache HTTP Server <= 2.4.10 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen im Apache HTTP-Server ermöglichen einem entfernten, nicht authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen oder Sicherheitsmaßnahmen zu umgehen. Patch: Fedora Security Update FEDORA-2014-17153 https://admin.fedoraproject.org/updates/FEDORA-2014-17153/httpd-2.4.10-2.fc20

Patch:

Fedora Security Update FEDORA-2014-17195

https://admin.fedoraproject.org/updates/FEDORA-2014-17195/httpd-2.4.10-15.fc21

CVE-2014-8109: Schwachstelle in mod_lua ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in dem Apache Modul mod_lua führt dazu, dass bei der
Verwendung von mehreren Konfigurationszeilen, in denen die Bedingungen für
den LuaAuthzProvider mit unterschiedlichen Parametern beschrieben werden,
nur die letzte Konfigurationszeile beachtet wird. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2014-3583: Schwachstelle in dem Modul mod_proxy_fcgi ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in der Funktion ‘handle_headers’ in dem Modul
mod_proxy_fcgi führt bei langen Headern in einer Antwort dazu, dass
außerhalb von Puffergrenzen gelesen wird und dadurch der Serverprozess
abstürzt. Ein entfernter, nicht authentifizierter Angreifer kann durch einen
manipulierten FastCGI-Server ein Denial-of-Service-Angriff durchführen.

CVE-2014-3581: Schwachstelle in mod_cache ermöglicht DoS-Angriff

Eine Schwachstelle in der Funktion cache_merge_headers_out in der Datei
modules/cache/cache_util.c führt dazu, dass HTTP Header nicht korrekt
verarbeitet werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch das Versenden eines leeren HTTP Inhaltstyp Header einen
Denial-of-Service-Angriff durchführen.

CVE-2013-5704: Schwachstelle ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Es besteht eine Schwachstelle im Modul mod_headers des Apache Webservers,
die es ermöglicht eine Funktion ‘Header aus einem Request zu entfernen’ des
Moduls zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann
durch eine Aufteilung eines Requests die Schwachstelle dazu ausnutzen
Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1691/

Schwachstelle CVE-2013-5704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5704

Schwachstelle CVE-2014-3581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3581

Schwachstelle CVE-2014-3583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3583

Fedora Security Update FEDORA-2014-17153:
https://admin.fedoraproject.org/updates/FEDORA-2014-17153/httpd-2.4.10-2.fc20

Fedora Security Update FEDORA-2014-17195:
https://admin.fedoraproject.org/updates/FEDORA-2014-17195/httpd-2.4.10-15.fc21

Schwachstelle CVE-2014-8109 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8109

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben