Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Apache Software Foundation Apache HTTP Server <= 2.4.10 Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 Betroffene Plattformen: Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Zwei Schwachstellen im Apache HTTP-Server ermöglichen einem entfernten, nicht authentisierten Angreifer, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service-Angriffe durchzuführen. Patch: Red Hat Security Advisory RHSA-2014:1972 http://rhn.redhat.com/errata/RHSA-2014-1972.html
CVE-2014-3581: Schwachstelle in mod_cache ermöglicht DoS-Angriff
Eine Schwachstelle in der Funktion cache_merge_headers_out in der Datei
modules/cache/cache_util.c führt dazu, dass HTTP Header nicht korrekt
verarbeitet werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch das Versenden eines leeren HTTP Inhaltstyp Header einen
Denial-of-Service-Angriff durchführen.
CVE-2013-5704: Schwachstelle ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Es besteht eine Schwachstelle im Modul mod_headers des Apache Webservers,
die es ermöglicht eine Funktion ‘Header aus einem Request zu entfernen’ des
Moduls zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann
durch eine Aufteilung eines Requests die Schwachstelle dazu ausnutzen
Sicherheitsvorkehrungen zu umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1633/
Schwachstelle CVE-2013-5704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5704
Schwachstelle CVE-2014-3581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3581
Red Hat Security Advisory RHSA-2014:1972:
http://rhn.redhat.com/errata/RHSA-2014-1972.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
