DFN-CERT-2014-1727 Apache HTTP-Server: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsmaßnahmen [Linux][SuSE]

DFN-CERT-2014-1727 Apache HTTP-Server: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsmaßnahmen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Apache HTTP Server <= 2.4.10 Betroffene Plattformen: openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Durch Ausnutzen der Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer Sicherheitsmaßnahmen umgehen. Für openSUSE 13.2, 13.1 und 12.3 werden Sicherheitsupdates in Form verschiedener Pakete von Apache 2 bereitgestellt, um diese Schwachstellen zu beheben. Patch: openSUSE Security Update openSUSE-SU-2014:1726-1 http://lists.opensuse.org/opensuse-updates/2014-12/msg00108.html

CVE-2014-8109: Schwachstelle in mod_lua ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in dem Apache Modul mod_lua führt dazu, dass bei der
Verwendung von mehreren Konfigurationszeilen, in denen die Bedingungen für
den LuaAuthzProvider mit unterschiedlichen Parametern beschrieben werden,
nur die letzte Konfigurationszeile beachtet wird. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2013-5704: Schwachstelle ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Es besteht eine Schwachstelle im Modul mod_headers des Apache Webservers,
die es ermöglicht eine Funktion ‘Header aus einem Request zu entfernen’ des
Moduls zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann
durch eine Aufteilung eines Requests die Schwachstelle dazu ausnutzen
Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1727/

Schwachstelle CVE-2013-5704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5704

Schwachstelle CVE-2014-8109 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8109

openSUSE Security Update openSUSE-SU-2014:1726-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00108.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben