UPDATE: DFN-CERT-2018-0206 Apache Software Foundation HTTP-Server: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE]

UPDATE: DFN-CERT-2018-0206 Apache Software Foundation HTTP-Server: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (30.01.2018):
Für openSUSE Leap 42.3 stehen Sicherheitsupdates zur Behebung der beiden
Schwachstellen in ‘apache2’ zur Verfügung.
Version 1 (29.01.2018):
Neues Advisory

Betroffene Software:

Apache Software Foundation HTTP-Server <= 2.4.26 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 openSUSE Leap 42.3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in Apache Software Foundation HTTP-Server ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen oder möglicherweise weiteren Einfluss auf das betroffene System zu nehmen. Für die SUSE Linux Enterprise Produkte Software Development Kit und Server jeweils in den Versionen 12 SP2 und 12 SP3 sowie für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 stehen Backport-Sicherheitsupdates für 'apache2' bereit, um diese Schwachstellen zu beheben. Patch: SUSE Security Update SUSE-SU-2018:0261-1 http://lists.suse.com/pipermail/sle-security-updates/2018-January/003657.html

Patch:

openSUSE Security Update openSUSE-SU-2018:0291-1

http://lists.opensuse.org/opensuse-updates/2018-01/msg00108.html

CVE-2017-9789: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

Beim Schließen vieler Verbindungen greift der Programmcode zur Verwendung
des Protokolls HTTP/2 gelegentlich auf bereits freigegebene Speicherbereiche
zu (Use-after-Free), wodurch die normale Funktion des Servers eingeschränkt
wird und nicht vorhersagbares Verhalten eintreten kann. Ein entfernter,
nicht authentisierter Angreifer kann durch den massenhaften Aufbau und das
gleichzeitige Schließen solcher Verbindungen einen Denial-of-Service
(DoS)-Zustand erzeugen und möglicherweise weitere Angriffe durchführen.

CVE-2017-7659: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

In Apache HTTP-Server (httpd) existiert eine nicht näher beschriebene
Schwachstelle, die es ermöglicht über eine bösartig präparierte
HTTP/2-Anfrage eine NULL-Zeiger-Dereferenzierung in ‘mod_http2’ zu
provozieren, wodurch der Server-Prozess zum Absturz gebracht werden kann
(Denial-of-Service). Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service (DoS)-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0206/

Schwachstelle CVE-2017-7659 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7659

Schwachstelle CVE-2017-9789 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9789

SUSE Security Update SUSE-SU-2018:0261-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003657.html

openSUSE Security Update openSUSE-SU-2018:0291-1:
http://lists.opensuse.org/opensuse-updates/2018-01/msg00108.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben