DFN-CERT-2015-0495 Apache HTTP-Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE]

DFN-CERT-2015-0495 Apache HTTP-Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Apache HTTP Server

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Mehrere Schwachstellen im Apache HTTP-Server ermöglichen einem entfernten,
nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen,
Ausspähen von Informationen und Ausführen von Denial-of-Service-Angriffen.

Für SUSE Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3 for
VMware und Server 11 SP3 stehen Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2015:0689-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150689-1.html

CVE-2003-1418: Schwachstelle im Apache HTTP-Server ermöglicht das Ausspähen
von Informationen

Eine Schwachstelle im Apache HTTP-Server ermöglicht einem entfernten, nicht
authentisierten Angreifer das Ausspähen von Informationen über (1) den
ETag-Header oder (2) multipart MIME-Boundary.

CVE-2014-3581: Schwachstelle in mod_cache ermöglicht DoS-Angriff

Eine Schwachstelle in der Funktion cache_merge_headers_out in der Datei
modules/cache/cache_util.c führt dazu, dass HTTP Header nicht korrekt
verarbeitet werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch das Versenden eines leeren HTTP Inhaltstyp Header einen
Denial-of-Service-Angriff durchführen.

CVE-2013-5704: Schwachstelle ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Es besteht eine Schwachstelle im Modul mod_headers des Apache Webservers,
die es ermöglicht eine Funktion ‘Header aus einem Request zu entfernen’ des
Moduls zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann
durch eine Aufteilung eines Requests die Schwachstelle dazu ausnutzen
Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0495/

Schwachstelle CVE-2013-5704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5704

Schwachstelle CVE-2014-3581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3581

Schwachstelle CVE-2003-1418 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2003-1418

SUSE Security Update SUSE-SU-2015:0689-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150689-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben