Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 9 (01.11.2017):
Für SUSE Studio Onsite 1.3 und die SUSE Linux Enterprise 11 Produkte
Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4 sowie für
SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 stehen Sicherheitsupdates
zur Behebung der Schwachstelle bereit. Im Sicherheitshinweis werden
zusätzlich die älteren Schwachstellen CVE-2017-7668, CVE-2017-3169,
CVE-2017-3167 und CVE-2017-7679 referenziert, die mit dem vorigen Update
auf Version 2.2.34 behoben wurden. Zusätzlich werden hier die
Schwachstellen CVE-2009-2699, CVE-2010-0425, CVE-2012-0021 und
CVE-2014-0118 kommentarlos erwähnt.
Version 8 (27.10.2017):
Für Fedora 25 steht ein neues Sicherheitsupdate in Form des Paketes
‘httpd-2.4.29-1.fc25’ im Status ‘testing’ bereit, welches das frühere
Sicherheitsupdate FEDORA-2017-01ab87482e ersetzt, das in den Status
‘obsolete’ versetzt und darum aus dieser Meldung entfernt wurde. Die
Sicherheitsupdates für Fedora 26 und 27 befinden sich im Status ‘stable’.
Version 7 (25.10.2017):
Canonical stellt für die Distribution Ubuntu 12.04 LTS (ESM, Extended
Security Maintenance) ein Sicherheitsupdate für ‘apache2’ zur Verfügung.
Version 6 (24.10.2017):
Für Red Hat Software Collections (for RHEL Server / Workstation) 1 stehen
Sicherheitsupdates für ‘httpd24’, ‘httpd24-curl’, ‘httpd24-httpd’,
‘httpd24-mod_auth_kerb’ und ‘httpd24-nghttp2’ bereit.
Version 5 (13.10.2017):
Für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Server for SAP 12 SP1
und Server 12 SP1 LTSS stehen Sicherheitsupdates für ‘apache2’ zur
Verfügung, um die Schwachstelle zu beheben.
Version 4 (12.10.2017):
Für Oracle Linux 7 (x86_64) sowie die Red Hat Enterprise Linux 7 Produkte
Server, Server for ARM, Workstation, Desktop und Scientific Computing
sowie Server 7.4 AUS, 7.4 EUS, 7.4 TUS und EUS Compute Node 7.4 stehen
Sicherheitsupdates für httpd zur Behebung der Schwachstelle bereit.
Version 3 (22.09.2017):
Für Fedora 25, 26 und 27 stehen die Pakete ‘httpd-2.4.27-4.fc25’,
‘httpd-2.4.27-3.fc26’ und ‘httpd-2.4.27-8.fc27’ im Status ‘testing’ als
Sicherheitsupdates bereit. Ebenfalls behoben wird die Schwachstelle
mittels Sicherheitsupdates des Pakets ‘apache2’ für openSUSE Leap 42.2 und
openSUSE Leap 42.3. Für die SUSE Linux Enterprise Produkte Software
Development Kit und Server in den Versionen 12 SP2 und 12 SP3 sowie Server
for Raspberry Pi 12 SP2 stehen Sicherheitsupdates in Form aktualisierter
‘apache2’ Pakete bereit.
Version 2 (21.09.2017):
Debian stellt für die stabile Distribution Stretch sowie die vormals
stabile Distribution Jessie Backport-Sicherheitsupdates für ‘apache2’
bereit.
Version 1 (20.09.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation HTTP-Server <= 2.2.34 Apache Software Foundation HTTP-Server >= 2.4.0
Apache Software Foundation HTTP-Server <= 2.4.27 Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 6.7 Red Hat Software Collections 1 RHEL 7 Red Hat Software Collections 1 RHEL 7.3 Red Hat Software Collections 1 RHEL 7.4 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 SUSE OpenStack Cloud 6 SUSE Studio Onsite 1.3 Canonical Ubuntu Linux 12.04 LTS (ESM) Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Debian Linux 8.9 Jessie Debian Linux 9.1 Stretch GNU/Linux openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 SP1 LTSS SUSE Linux Enterprise Server for SAP 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann eine unter dem Namen 'OTIONSBLEED' veröffentlichte Use-after-free-Schwachstelle in Apache HTTP-Server (httpd) durch das Senden einer 'HTTP OPTIONS'-Anfrage ausnutzen, um potenziell sensitive Informationen aus dem Serverprozessspeicher auszuspähen. Der Hersteller bestätigt die Schwachstelle und stellt zur Behebung einen Patch in seinem Subversion-Repository bereit (Referenz anbei). Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04 LTS Sicherheitsupdates für 'apache2' bereit. Patch: Apache Subversion Repository: Patch für Optionsbleed https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch

Patch:

Ubuntu Security Notice USN-3425-1

http://www.ubuntu.com/usn/usn-3425-1/

Patch:

Debian Security Advisory DSA-3980-1

https://www.debian.org/security/2017/dsa-3980

Patch:

Fedora Security Update FEDORA-2017-a52f252521 (Fedora 26,
httpd-2.4.27-3.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a52f252521

Patch:

Fedora Security Update FEDORA-2017-fdd3a98e8f (Fedora 27,
httpd-2.4.27-8.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-fdd3a98e8f

Patch:

SUSE Security Update SUSE-SU-2017:2542-1

http://lists.suse.com/pipermail/sle-security-updates/2017-September/003254.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2549-1

http://lists.opensuse.org/opensuse-updates/2017-09/msg00095.html

Patch:

Oracle Linux Security Advisory ELSA-2017-2882

https://linux.oracle.com/errata/ELSA-2017-2882.html

Patch:

Red Hat Security Advisory RHSA-2017:2882

https://access.redhat.com/errata/RHSA-2017:2882

Patch:

SUSE Security Update SUSE-SU-2017:2718-1

http://lists.suse.com/pipermail/sle-security-updates/2017-October/003295.html

Patch:

Red Hat Security Advisory RHSA-2017:3018

https://access.redhat.com/errata/RHSA-2017:3018

Patch:

Ubuntu Security Notice USN-3425-2

http://www.ubuntu.com/usn/usn-3425-2/

Patch:

Fedora Security Update FEDORA-2017-45ed341e61 (Fedora 25,
httpd-2.4.29-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-45ed341e61

Patch:

SUSE Security Update SUSE-SU-2017:2907-1

http://lists.suse.com/pipermail/sle-security-updates/2017-October/003365.html

CVE-2017-9798: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Ausspähen von Informationen

Wenn die ‘Limit’-Direktive in der ‘.htaccess’-Datei eines Benutzers gesetzt
werden kann oder wenn die ‘httpd.conf’ bestimmte Fehlkonfigurationen
enthält, existiert eine Schwachstelle in Apache HTTP-Server (httpd) bis
einschließlich der Version 2.2.34 und in den Versionen 2.4.x bis
einschließlich 2.4.27 durch Verwendung einer ungültigen HTTP-Methode.
Dadurch kann bei der Erstellung der ‘Allow’-Kopfdatei, die als Antwort auf
eine an den HTTP-Server gesandte ‘HTTP OPTIONS’-Anfrage von diesem zurück
gesendet wird, ein Use-after-free-Fehler verursacht werden, wodurch
Speicherinhalte des Serverprozessspeichers in die Kopfdatei geschrieben und
so offengelegt werden. Bei den offengelegten Speicherinhalten kann es sich
auch um sensitive Informationen des HTTP-Server handeln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1659/

Schwachstelle CVE-2017-9798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9798

Apache Subversion Repository: Patch für Optionsbleed:
https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch

Ubuntu Security Notice USN-3425-1:
http://www.ubuntu.com/usn/usn-3425-1/

The Fuzzing Project: Optionsbleed – HTTP OPTIONS method can leak Apache’s
server memory:
https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Debian Security Advisory DSA-3980-1:
https://www.debian.org/security/2017/dsa-3980

Fedora Security Update FEDORA-2017-a52f252521 (Fedora 26, httpd-2.4.27-3.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a52f252521

Fedora Security Update FEDORA-2017-fdd3a98e8f (Fedora 27, httpd-2.4.27-8.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fdd3a98e8f

SUSE Security Update SUSE-SU-2017:2542-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-September/003254.html

openSUSE Security Update openSUSE-SU-2017:2549-1:
http://lists.opensuse.org/opensuse-updates/2017-09/msg00095.html

Oracle Linux Security Advisory ELSA-2017-2882:
https://linux.oracle.com/errata/ELSA-2017-2882.html

Red Hat Security Advisory RHSA-2017:2882:
https://access.redhat.com/errata/RHSA-2017:2882

SUSE Security Update SUSE-SU-2017:2718-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-October/003295.html

Red Hat Security Advisory RHSA-2017:3018:
https://access.redhat.com/errata/RHSA-2017:3018

Ubuntu Security Notice USN-3425-2:
http://www.ubuntu.com/usn/usn-3425-2/

Fedora Security Update FEDORA-2017-45ed341e61 (Fedora 25, httpd-2.4.29-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-45ed341e61

SUSE Security Update SUSE-SU-2017:2907-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-October/003365.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.