UPDATE: DFN-CERT-2016-2108 Apache Software Foundation HTTP-Server: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Windows]

UPDATE: DFN-CERT-2016-2108 Apache Software Foundation HTTP-Server: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff [Linux][Debian][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (27.02.2017):
Debian stellt für die Distribution Debian Jessie (stable) ein
Backport-Sicherheitsupdate und für Debian Stretch (testing) ein
Sicherheitsupdate auf die Apache2 HTTP Server Version 2.4.25 bereit, durch
welche die Schwachstellen CVE-2016-0736, CVE-2016-2161 und CVE-2016-8743
adressiert werden.
Version 2 (27.12.2016):
Für Fedora 24 und 25 stehen Sicherheitsupdates für den Apache HTTP-Server
auf Version 2.4.25 im Status ‘stable’ bereit, welche die Schwachstellen
CVE-2016-8743, CVE-2016-2161 und CVE-2016-0736 beheben. Die beiden
Schwachstellen CVE-2016-5387 und CVE-2016-8740 sind bereits durch frühere
Updates von Fedora behoben worden.
Version 1 (21.12.2016):
Neues Advisory

Betroffene Software:

Apache Software Foundation HTTP-Server < 2.4.25 Betroffene Plattformen: Debian Linux 8.7 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows Red Hat Fedora 24 Red Hat Fedora 25 Mehrere Schwachstellen in Apache HTTP-Server (httpd) ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen sowie die Durchführung von Denial-of-Service-Angriffen. Der Hersteller stellt zur Behebung der Schwachstellen die Version 2.4.25 als Sicherheitsupdate bereit. Mit dieser Version wird der im Juli veröffentlichte Patch für die unter dem Namen 'httpoxy' bekannte Schwachstelle CVE-2016-5387 in eine Punktversion der Software integriert. Patch: Apache Security Advisory Apache HTTPD ADV 2.4.25 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.25

Patch:

Fedora Security Update FEDORA-2016-8d9b62c784 (Fedora 25,
httpd-2.4.25-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-8d9b62c784

Patch:

Fedora Security Update FEDORA-2016-d22f50d985 (Fedora 24,
httpd-2.4.25-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d22f50d985

Patch:

Debian Security Advisory DSA-3796-1

https://www.debian.org/security/2017/dsa-3796

CVE-2016-8743: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Durch die unzureichende Umsetzung von RFC7230 im Umgang mit Leerzeichen und
durch Interpretation verschiedener Steuerzeichen als Leerzeichen
(Whitespace) besteht eine Schwachstelle in Apache HTTP-Server bei der
Interaktion mit einer Proxy-Kette oder einem Backend-Server über ‘mod_proxy’
oder konventionellen CGI-Mechanismen. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen und mit speziell präparierten
Anfrage-Kopfdaten (Request-Header) verschiedene Antworten von einem Server
hinter einem Proxy-Agent erzeugen, wodurch der Proxy-Cache verunreinigt wird
(Cache Poisoning) oder Inhalte umgelenkt werden können.

CVE-2016-2161: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

Durch die unzureichende Validierung von Eingaben im Modul ‘mod_auth_digest’
besteht eine Schwachstelle in Apache HTTP-Server (httpd). Diese ermöglicht
es einen Server zum Absturz zu bringen, wodurch auch jede Folgeinstanz trotz
gültiger Eingaben abstürzt. Ein entfernter, nicht authentisierter Angreifer
kann durch das Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff
durchführen.

CVE-2016-0736: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in Apache HTTP-Server (httpd) ermöglicht die Durchführung
eines Padding-Oracle-Angriffs, da das Sitzungscookie ‘mod_session_crypto’
gegenüber nicht mit einem Message Authentication Code (MAC) authentifiziert
wird. Ein entfernter, nicht authentisierter Angreifer kann durch das
Ausnutzen der Schwachstelle Sicherheitsvorkehrungen umgehen und
Informationen ausspähen.

CVE-2016-8740: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

Die Direktive ‘LimitRequestFields’, die die Anzahl der Felder in Kopfdaten
von HTTP-Anfragen pro Klient beschränkt, ist in der
HTTP/2-Protokoll-Implementierung (mod_http2) nicht vollständig umgesetzt.
Ein entfernter, nicht authentifizierter Angreifer kann unbegrenzt Kopfdaten
von HTTP-Anfragen (Request Header) in den Server injizieren, dadurch den
Speicher des Systems erschöpfen und einen Denial-of-Service-Zustand
erzeugen.

CVE-2016-5387: “Schwachstelle” in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Der Apache HTTP-Server (httpd) bis Version 2.4.23 ist konform zu RFC 3875
Sektion 4.1.18 und schützt deshalb Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es möglich, mittels eines präparierten Proxy-Headers in einem
HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen
beliebigen Proxy-Server umzuleiten (‘httpoxy’-Problem). HINWEIS: Der
Hersteller teilt dazu mit, dass es sich bei dieser CVE um Anpassungen zur
Vermeidung dieses Problems handelt, mit anderen Worten, es handelt sich
hierbei nicht um eine Schwachstelle im Sinne eines fehlerhaften Verhaltens.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2108/

Apache Security Advisory Apache HTTPD ADV 2.4.25:
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.25

Schwachstelle CVE-2016-5387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5387

Schwachstelle CVE-2016-8740 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8740

Schwachstelle CVE-2016-0736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0736

Schwachstelle CVE-2016-2161 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2161

Schwachstelle CVE-2016-8743 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8743

Fedora Security Update FEDORA-2016-8d9b62c784 (Fedora 25, httpd-2.4.25-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-8d9b62c784

Fedora Security Update FEDORA-2016-d22f50d985 (Fedora 24, httpd-2.4.25-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d22f50d985

Debian Security Advisory DSA-3796-1:
https://www.debian.org/security/2017/dsa-3796

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben