DFN-CERT-2015-1608 HP-UX Web Server Suite: Mehrere Schwachstellen erlauben u.a. das Ausführen von Programmcode [Unix]

DFN-CERT-2015-1608 HP-UX Web Server Suite: Mehrere Schwachstellen erlauben u.a. das Ausführen von Programmcode [Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

HP-UX Apache-Based Web Server Suite 2.2.15.21

Betroffene Plattformen:

HP-UX family of operating systems B.11.23

Mehrere Schwachstellen in der HP-UX Web Server Suite 2.2.15.21 mit Apache
HTTP Server ermöglichen einem entfernten, nicht authentisierten Angreifer
Sicherheitsvorkehrungen zu umgehen, Informationen auszuspähen,
Denial-of-Service-Angriffe durch- und beliebigen Programmcode auszuführen.

Für die HP-UX Version B.11.23 steht die HP-UX Web Server Suite v3.31
HPUXWSATW331 Version, die die Komponenten Apache v2.2.15.23, Tomcat Servlet
Engine 5.5.36.02 und PHP 5.2.17.04 beinhaltet, zur Behebung dieser
Schwachstellen bereit.

Patch:

HP Security Bulletin HPSBUX03512 SSRT102254

https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04832246

CVE-2015-3183: Schwachstelle im HTTP-Server ermöglicht das Umgehen von
Sicherheitsvorkehrungen

In modules/http/http_filters.c. im Apache HTTP-Server besteht ein Fehler im
Parser von Chunk-Headern bei aufgeteilten Anfragen in “Chunks”, der in
Verbindung mit großen Chunk-Größenwerten und ungültigen Zeichen in
Chunk-Erweiterungen auftritt. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle mit Hilfe speziell präparierter Anfragen
ausnutzen, um den Server zu einer Fehlinterpretation der Länge der Anfrage
zu veranlassen, um HTTP-Anfragen zu schmuggeln und Cache Poisoning oder
Credential-Entführung im Fall von Proxy-Umgebungen zu erreichen.

CVE-2015-4000: TLS: Eine Schwachstelle ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle im Handshake des TLS-Protokolls Version 1.2 und früher
führt dazu, dass bei der Aushandlung der zu verwendenden
Diffie-Hellman-Verschlüsselung (DHE) ein Teil der Kommunikation nicht
signiert stattfindet. Der Client sendet zuerst eine Liste mit Vorschlägen
von Algorithmen, die für die Verschlüsselung verwendet werden können, an den
Server und dieser wählt einen Algorithmus aus der Liste aus. Die Verbindung
ist zu dem Zeitpunkt, zu dem der Client die Liste sendet, noch nicht
signiert. Durch einen Man-in-the-Middle-Angriff kann die Liste so verändert
werden, dass aus einem “ClientHello DHE” ein “ClientHello DHE_EXPORT” wird
und der Server eine DHE 512 Bit-Gruppe auswählt. Der Angreifer modifiziert
die Serverantwort entsprechend von “ServerHello DHE_EXPORT” zu “ServerHello
DHE”. Der Client bietet eine unsichere 512-Bit Gruppe im normalen Modus
nicht von sich aus an, akzeptiert diese aber, wenn sie vom Server
vorgeschlagen wird. Voraussetzung ist, dass auf dem Server der EXPORT-Modus
(DHE_EXPORT) aktiviert ist. Viele Server im Internet unterstützen für den
EXPORT-Modus die gleichen Gruppen, wodurch es möglich wird, einen Großteil
der für den Angriff notwendigen Berechnungen vorab zu erledigen.

Die Schwachstelle ist unter dem Namen Logjam bekannt.

CVE-2015-2808: Schwachstelle in der TLS/SSL-Protokoll-Implementierung

Der RC4-Algorithmus, wie er im TLS-Protokoll und SSL-Protokoll verwendet
wird, kombiniert während der Initialisierungsphase Statusdaten nicht korrekt
mit Schlüsseldaten. Ein entfernter, nicht authentifizierter Angreifer kann
durch Ausnutzen dieser Schwachstelle leichter den Klartext der initialen
Bytes eines Streams ermitteln, indem er den Netzwerkverkehr belauscht, der
gelegentlich auf Schlüsseln beruht, die von dieser Invarianzschwäche
betroffen sind, um in der Folge einen Brute-Force-Angriff unter Verwendung
von LSB-Werten gegen die Verschlüsselung durchzuführen (“Bar
Mitzvah”-Problem) und dadurch Informationen auszuspähen.

CVE-2013-5704: Schwachstelle im Apache HTTP Server ermöglicht das Umgehen
von Sicherheitsvorkehrungen

Es besteht eine Schwachstelle im Modul mod_headers des Apache Webservers,
die es ermöglicht, eine Funktion ‘Header aus einem Request zu entfernen’ des
Moduls zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann
durch eine Aufteilung eines Requests die Schwachstelle dazu ausnutzen,
Sicherheitsvorkehrungen zu umgehen.

CVE-2014-0231: Schwachstelle in “mod_cgid” erlaubt Denial-of-Service

Eine Schwachstelle besteht in “mod_cgid”, wenn ein Server “mod_cgid”
gehostede CGI-Skripte verwendet, welche keine Standardeingaben verarbeiten.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um den Kind-Prozess zum Hängen zu bringen, d. h. einen
Denial-of-Service-Zustand zu verursachen.

CVE-2014-0226: Race-Condition-Schwachstelle in “mod_status”

Eine Race-Condition wurde in “mod_status” gefunden. Ein entfernter, nicht
authentisierter Angreifer, der in der Lage ist, eine öffentliche Statusseite
eines Servers aufzurufen, welcher verkettete Multi-Processing-Module (MPM)
verwendet, kann diese Schwachstelle ausnutzen, indem er einen speziell
präparierten Request sendet, um einen Überlauf des Heap-Speichers zu
verursachen (“heap buffer overflow”). In der Folge kann ein
Denial-of-Service-Zustand entstehen, die Ausführung von beliebigem
Programmcode oder das Ausspähen von Informationen möglich werden. Anmerkung:
Normalerweise sollten Serverstatusseiten nicht öffentlich erreichbar gemacht
werden.

CVE-2014-0118: Schwachstelle in “mod_deflate” erlaubt Denial-of-Service

Eine Schwachstelle in “mod_deflate” führt zum Verbrauch von Ressourcen. Wenn
“request body decompression” konfiguriert ist, unter Verwendung des
“DEFLATE”-Eingabefilters, kann diese Schwachstelle von einem entfernten,
nicht authentisierten Angreifer ausgenutzt werden, um den Server dazu zu
bringen, signifikant Speicher und/oder Prozessor (CPU)-Ressourcen zu
verbrauchen. Die Verwendung von “request body decompression” ist keine
übliche Konfiguration.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1608/

Schwachstelle CVE-2013-5704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5704

Schwachstelle CVE-2014-0118 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0118

Schwachstelle CVE-2014-0226 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0226

Schwachstelle CVE-2014-0231 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0231

Schwachstelle CVE-2015-2808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2808

Schwachstelle CVE-2015-4000 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000

Schwachstelle CVE-2015-3183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3183

HP Security Bulletin HPSBUX03512 SSRT102254:
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04832246

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben