DFN-CERT-2016-1077 Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Windows]

DFN-CERT-2016-1077 Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation HTTP-Server >= 2.4.18
Apache Software Foundation HTTP-Server <= 2.4.20 Betroffene Plattformen: GNU/Linux Microsoft Windows Ein entfernter, nicht authentifizierter Angreifer kann ohne gültiges Zertifikat Zugriff auf eigentlich sichere Ressourcen des Apache HTTP-Servers erhalten, falls das Modul 'mod_http2' geladen und eines der Schemata h2 (HTTP/2 over TLS) oder h2c (HTTP/2 over TCP) aktiviert ist. Der Browser des Angreifers muss darüber hinaus das HTTP/2-Protokoll verwenden und mehr als eine Anfrage über eine einzelne Verbindung durchführen. Der Angreifer kann durch Ausnutzung der Schwachstelle Sicherheitsvorkehrungen umgehen und in der Folge Informationen ausspähen. Die Apache Software Foundation informiert über die Schwachstelle im Apache HTTP-Server in den Versionen 2.4.18 bis 2.4.20 und stellt mit der Version 2.4.23 ein Sicherheitsupdate zur Behebung der aktiv ausgenutzten Schwachstelle bereit. Patch: Apache Security Advisory Apache HTTPD ADV 2.4.23 https://httpd.apache.org/security/vulnerabilities_24.html#2.4.23

Patch:

Apache HTTPD 2.4.23 Release Notes

https://www.apache.org/dist/httpd/Announcement2.4.html

CVE-2016-4979: Schwachstelle in Apache HTTP-Server ermöglicht Ausspähen von
Informationen

Der Apache HTTP-Server in den Versionen 2.4.18 bis 2.4.20 prüft
Client-Zertifikate nicht auf Fehler oder Existenz, wenn die Verbindung zu
einer Ressource über HTTP/2 zur Verfügung gestellt werden soll.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1077/

Apache Security Advisory Apache HTTPD ADV 2.4.23:
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.23

Schwachstelle CVE-2016-4979 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4979

Apache HTTPD 2.4.23 Release Notes:
https://www.apache.org/dist/httpd/Announcement2.4.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben