Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 14 (29.03.22):
Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für ‘apache2’ bereit,
um die beiden Schwachstellen zu beheben. Die hier ebenfalls aufgelistete
Schwachstelle CVE-2022-1096 betrifft dagegen das Paket ‘chromium’ (in
openSUSE Backports SLE 15 SP3).
Version 13 (17.02.22):
Für SUSE Linux Enterprise Server 12 SP5, SUSE Linux Enterprise Server for
SAP Applications 12 SP5 und SUSE Linux Enterprise Software Development Kit
12 SP5 stehen Sicherheitsupdates für ‘apache2’ bereit, um die
Schwachstellen zu beheben.
Version 12 (02.02.22):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘apache2’ in
Version 2.4.25-3+deb9u12 bereit, um die beiden Schwachstellen zu beheben.
Version 11 (21.01.22):
Für SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP2 steht
ein Sicherheitsupdate zur Verfügung, mit dem die beiden Schwachstellen in
‘apache2’ adressiert werden.
Version 10 (19.01.22):
Für SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux
Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise
High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie
SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen
Sicherheitsupdates für ‘apache2’ bereit, um die Schwachstellen zu beheben.
Version 9 (18.01.22):
Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für ‘apache2’ bereit,
um die Schwachstellen zu beheben.
Version 8 (18.01.22):
Für SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15
SP3, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3 sowie
SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3 stehen
Sicherheitsupdates für ‘apache2’ bereit, um die Schwachstellen zu beheben.
Version 7 (13.01.22):
IBM stellt für IBM HTTP Server, der von WebSphere Application Server
verwendet wird, ein Sicherheitsupdate zur Behebung der Schwachstellen
bereit. Die Fix Pack Version 9.0.5.11 wird zu einem späteren Zeitpunkt
veröffentlicht, bis dahin steht der Interim Fix PH42862 zur Verfügung.
Version 6 (13.01.22):
Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise
Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2
BCL, 12 SP3 BCL / LTSS und 12 SP4 LTSS stehen Sicherheitsupdates für
‘apache2’ bereit, um die Schwachstellen zu beheben.
Version 5 (10.01.22):
Das Sicherheitsupdate für ‘apache2’ steht jetzt auch für Ubuntu 16.04 ESM
und Ubuntu 14.04 ESM zur Verfügung.
Version 4 (07.01.22):
Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und
Ubuntu 18.04 LTS Sicherheitsupdates für ‘apache2’ bereit, um die
Schwachstellen zu beheben.
Version 3 (05.01.22):
Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable) stehen
Sicherheitsupdates für ‘apache2’ in Version 2.4.38-3+deb10u7 bzw.
2.4.52-1~deb11u2 bereit, um die Schwachstellen zu beheben.
Version 2 (23.12.21):
Für Fedora 35 steht ein Sicherheitsupdate in Form des Paketes
‘httpd-2.4.52-1.fc35′ im Status ‘testing’ zur Behebung der Schwachstellen
zur Verfügung.
Version 1 (21.12.21):
Neues Advisory
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Denial-
of-Service (DoS)-Angriffe und einen Server-Site-Request-Forgery
(SSRF)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Die Apache Software Foundation stellt das offizielle Release 2.4.52 zur
Behebung der Schwachstellen sowie weiterer nicht kritischer Fehler bereit.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2656]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
