UPDATE: DFN-CERT-2014-1691 Apache HTTP-Server: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsmaßnahmen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1691 Apache HTTP-Server: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsmaßnahmen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (01.06.2015):
Für die Distributionen SUSE Linux Enterprise Software Development Kit 12
und SUSE Linux Enterprise Server 12 werden Backport-Sicherheitsupdates für
Apache HTTP Server zur Verfügung gestellt. Die Schwachstelle
CVE-2014-3583 wird nicht benannt.
Version 3 (10.03.2015):
Für die Distributionen Ubuntu 14.10, 14.04 LTS, 12.04 LTS und 10.04 LTS
werden Sicherheitsupdates in Form verschiedener Backported-Patches für
Apache HTTP Server zur Verfügung gestellt. Die Schwachstelle CVE-2015-0228
wurde zusätzlich aufgenommen.
Version 2 (30.01.2015):
Mit dem Apache httpd 2.4.12 Release wurden diese Sicherheitslücken jetzt
endgültig behoben, nachdem für Fedora 20 / 21 im Dezember auch bereits
Patches für Apache httpd 2.4.10 zur Verfügung gestellt worden waren.
Version 1 (18.12.2014):
Neues Advisory

Betroffene Software:

Apache Software Foundation Apache HTTP Server <= 2.4.10 Betroffene Plattformen: SUSE Software Development Kit 12 Enterprise Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 GNU/Linux SUSE Linux Enterprise Server 12 Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen im Apache HTTP-Server ermöglichen einem entfernten, nicht authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen oder Sicherheitsmaßnahmen zu umgehen. Patch: Apache Security Advisory Apache-HTTPD-ADV-2.4.12 https://httpd.apache.org/security/vulnerabilities_24.html

Patch:

Fedora Security Update FEDORA-2014-17153

https://admin.fedoraproject.org/updates/FEDORA-2014-17153/httpd-2.4.10-2.fc20

Patch:

Fedora Security Update FEDORA-2014-17195

https://admin.fedoraproject.org/updates/FEDORA-2014-17195/httpd-2.4.10-15.fc21

Patch:

Ubuntu Security Notice USN-2523-1

http://www.ubuntu.com/usn/usn-2523-1/

Patch:

SUSE Security Update SUSE-SU-2015:0974-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150974-1.html

CVE-2015-0228: Schwachstelle in Mod_lua ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in dem Apache 2 Modul Mod_lua führt dazu, dass nach dem
Aufruf der Funktion r:wsupgrade() durch ein Skript, ein präparierter
Websocket PING einen Absturz auslöst.

CVE-2014-8109: Schwachstelle in mod_lua ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in dem Apache Modul mod_lua führt dazu, dass bei der
Verwendung von mehreren Konfigurationszeilen, in denen die Bedingungen für
den LuaAuthzProvider mit unterschiedlichen Parametern beschrieben werden,
nur die letzte Konfigurationszeile beachtet wird. Ein entfernter, nicht
authentifizierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2014-3583: Schwachstelle in dem Modul mod_proxy_fcgi ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in der Funktion ‘handle_headers’ in dem Modul
mod_proxy_fcgi führt bei langen Headern in einer Antwort dazu, dass
außerhalb von Puffergrenzen gelesen wird und dadurch der Serverprozess
abstürzt. Ein entfernter, nicht authentifizierter Angreifer kann durch einen
manipulierten FastCGI-Server einen Denial-of-Service-Angriff durchführen.

CVE-2014-3581: Schwachstelle in mod_cache ermöglicht DoS-Angriff

Eine Schwachstelle in der Funktion cache_merge_headers_out in der Datei
modules/cache/cache_util.c führt dazu, dass HTTP Header nicht korrekt
verarbeitet werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch das Versenden eines leeren HTTP Inhaltstyp Header einen
Denial-of-Service-Angriff durchführen.

CVE-2013-5704: Schwachstelle ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Es besteht eine Schwachstelle im Modul mod_headers des Apache Webservers,
die es ermöglicht eine Funktion ‘Header aus einem Request zu entfernen’ des
Moduls zu umgehen. Ein entfernter, nicht authentisierter Angreifer kann
durch eine Aufteilung eines Requests die Schwachstelle dazu ausnutzen
Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1691/

Schwachstelle CVE-2013-5704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5704

Apache Security Advisory Apache-HTTPD-ADV-2.4.12:
https://httpd.apache.org/security/vulnerabilities_24.html

Schwachstelle CVE-2014-3581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3581

Schwachstelle CVE-2014-3583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3583

Fedora Security Update FEDORA-2014-17153:
https://admin.fedoraproject.org/updates/FEDORA-2014-17153/httpd-2.4.10-2.fc20

Fedora Security Update FEDORA-2014-17195:
https://admin.fedoraproject.org/updates/FEDORA-2014-17195/httpd-2.4.10-15.fc21

Schwachstelle CVE-2014-8109 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8109

Schwachstelle CVE-2015-0228 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0228

Ubuntu Security Notice USN-2523-1:
http://www.ubuntu.com/usn/usn-2523-1/

SUSE Security Update SUSE-SU-2015:0974-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150974-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben