DFN-CERT-2016-1162 Apache Software Foundation HTTP-Server: Zwei Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT-2016-1162 Apache Software Foundation HTTP-Server: Zwei Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation HTTP-Server <= 2.4.23 Betroffene Plattformen: Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 Ein entfernter, nicht authentifizierter Angreifer kann ohne gültiges Zertifikat Zugriff auf eigentlich sichere Ressourcen des Apache HTTP-Servers erhalten, falls das Modul 'mod_http2' geladen und eines der Schemata h2 (HTTP/2 over TLS) oder h2c (HTTP/2 over TCP) aktiviert ist. Dafür muss der Browser des Angreifers darüber hinaus das HTTP/2-Protokoll verwenden und mehr als eine Anfrage über eine einzelne Verbindung durchführen. Außerdem kann der Angreifer das zu RFC 3875 Sektion 4.1.18 konforme und somit eigentlich korrekte Verhalten im Apache HTTP-Server (httpd, mod_fcgid) bis Version 2.4.23 ausnutzen, um mit einem präparierten Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten ("httpoxy"-Problem). Durch Ausnutzen dieser Schwachstellen kann der Angreifer Sicherheitsvorkehrungen umgehen und in der Folge Informationen ausspähen. Die Apache Software Foundation informiert über die erstgenannte Schwachstelle im Apache HTTP-Server in den Versionen 2.4.18 bis 2.4.20 und stellt mit der Version 2.4.23 ein Sicherheitsupdate zur Behebung der aktiv ausgenutzten Schwachstelle bereit. Die CVE-2016-5387 wurde für Maßnahmen zur Mitigation der zweiten Schwachstelle vergeben. Für Red Hat Software Collections 1 for RHEL 6 / RHEL 7 stehen Sicherheitsupdates in Form aktualisierter Pakete von 'httpd24-httpd' bereit. Patch: Red Hat Security Advisory RHSA-2016:1420 http://rhn.redhat.com/errata/RHSA-2016-1420.html

CVE-2016-5387: “Schwachstelle” in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Der Apache HTTP-Server (httpd) bis Version 2.4.23 ist konform zu RFC 3875
Sektion 4.1.18 und schützt deshalb Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es möglich, mittels eines präparierten Proxy-Headers in einem
HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen
beliebigen Proxy-Server umzuleiten (“httpoxy”-Problem). HINWEIS: Der
Hersteller teilt dazu mit, dass es sich bei dieser CVE um Anpassungen zur
Vermeidung dieses Problems handelt, mit anderen Worten, es handelt sich
hierbei nicht um eine Schwachstelle im Sinne eines fehlerhaften Verhaltens.

CVE-2016-4979: Schwachstelle in Apache HTTP-Server ermöglicht Ausspähen von
Informationen

Der Apache HTTP-Server in den Versionen 2.4.18 bis 2.4.20 prüft
Client-Zertifikate nicht auf Fehler oder Existenz, wenn die Verbindung zu
einer Ressource über HTTP/2 zur Verfügung gestellt werden soll.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1162/

Schwachstelle CVE-2016-4979 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4979

Red Hat Security Advisory RHSA-2016:1420:
http://rhn.redhat.com/errata/RHSA-2016-1420.html

“httpoxy” – Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
https://httpoxy.org/

Apache Software Foundation Projects “httpoxy” Response (CVE-2016-5387):
https://www.apache.org/security/asf-httpoxy-response.txt

Schwachstelle CVE-2016-5387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5387

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben