UPDATE: DFN-CERT-2017-1659 Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat][SuSE]

UPDATE: DFN-CERT-2017-1659 Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (12.10.2017):
Für Oracle Linux 7 (x86_64) sowie die Red Hat Enterprise Linux 7 Produkte
Server, Server for ARM, Workstation, Desktop und Scientific Computing
sowie Server 7.4 AUS, 7.4 EUS, 7.4 TUS und EUS Compute Node 7.4 stehen
Sicherheitsupdates für httpd zur Behebung der Schwachstelle bereit.
Version 3 (22.09.2017):
Für Fedora 25, 26 und 27 stehen die Pakete ‘httpd-2.4.27-4.fc25’,
‘httpd-2.4.27-3.fc26’ und ‘httpd-2.4.27-8.fc27’ im Status ‘testing’ als
Sicherheitsupdates bereit. Ebenfalls behoben wird die Schwachstelle
mittels Sicherheitsupdates des Pakets ‘apache2’ für openSUSE Leap 42.2 und
openSUSE Leap 42.3. Für die SUSE Linux Enterprise Produkte Software
Development Kit und Server in den Versionen 12 SP2 und 12 SP3 sowie Server
for Raspberry Pi 12 SP2 stehen Sicherheitsupdates in Form aktualisierter
‘apache2’ Pakete bereit.
Version 2 (21.09.2017):
Debian stellt für die stabile Distribution Stretch sowie die vormals
stabile Distribution Jessie Backport-Sicherheitsupdates für ‘apache2’
bereit.
Version 1 (20.09.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation HTTP-Server <= 2.2.34 Apache Software Foundation HTTP-Server >= 2.4.0
Apache Software Foundation HTTP-Server <= 2.4.27 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Debian Linux 8.9 Jessie Debian Linux 9.1 Stretch GNU/Linux openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Ein entfernter, nicht authentisierter Angreifer kann eine unter dem Namen 'OTIONSBLEED' veröffentlichte Use-after-free-Schwachstelle in Apache HTTP-Server (httpd) durch das Senden einer 'HTTP OPTIONS'-Anfrage ausnutzen, um potenziell sensitive Informationen aus dem Serverprozessspeicher auszuspähen. Der Hersteller bestätigt die Schwachstelle und stellt zur Behebung einen Patch in seinem Subversion-Repository bereit (Referenz anbei). Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04 LTS Sicherheitsupdates für 'apache2' bereit. Patch: Apache Subversion Repository: Patch für Optionsbleed https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch

Patch:

Ubuntu Security Notice USN-3425-1

http://www.ubuntu.com/usn/usn-3425-1/

Patch:

Debian Security Advisory DSA-3980-1

https://www.debian.org/security/2017/dsa-3980

Patch:

Fedora Security Update FEDORA-2017-01ab87482e (Fedora 25,
httpd-2.4.27-4.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-01ab87482e

Patch:

Fedora Security Update FEDORA-2017-a52f252521 (Fedora 26,
httpd-2.4.27-3.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a52f252521

Patch:

Fedora Security Update FEDORA-2017-fdd3a98e8f (Fedora 27,
httpd-2.4.27-8.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-fdd3a98e8f

Patch:

SUSE Security Update SUSE-SU-2017:2542-1

http://lists.suse.com/pipermail/sle-security-updates/2017-September/003254.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2549-1

http://lists.opensuse.org/opensuse-updates/2017-09/msg00095.html

Patch:

Oracle Linux Security Advisory ELSA-2017-2882

https://linux.oracle.com/errata/ELSA-2017-2882.html

Patch:

Red Hat Security Advisory RHSA-2017:2882

https://access.redhat.com/errata/RHSA-2017:2882

CVE-2017-9798: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Ausspähen von Informationen

Wenn die ‘Limit’-Direktive in der ‘.htaccess’-Datei eines Benutzers gesetzt
werden kann oder wenn die ‘httpd.conf’ bestimmte Fehlkonfigurationen
enthält, existiert eine Schwachstelle in Apache HTTP-Server (httpd) bis
einschließlich der Version 2.2.34 und in den Versionen 2.4.x bis
einschließlich 2.4.27 durch Verwendung einer ungültigen HTTP-Methode.
Dadurch kann bei der Erstellung der ‘Allow’-Kopfdatei, die als Antwort auf
eine an den HTTP-Server gesandte ‘HTTP OPTIONS’-Anfrage von diesem zurück
gesendet wird, ein Use-after-free-Fehler verursacht werden, wodurch
Speicherinhalte des Serverprozessspeichers in die Kopfdatei geschrieben und
so offengelegt werden. Bei den offengelegten Speicherinhalten kann es sich
auch um sensitive Informationen des HTTP-Server handeln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1659/

Schwachstelle CVE-2017-9798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9798

Apache Subversion Repository: Patch für Optionsbleed:
https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch

Ubuntu Security Notice USN-3425-1:
http://www.ubuntu.com/usn/usn-3425-1/

The Fuzzing Project: Optionsbleed – HTTP OPTIONS method can leak Apache’s
server memory:
https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html

Debian Security Advisory DSA-3980-1:
https://www.debian.org/security/2017/dsa-3980

Fedora Security Update FEDORA-2017-01ab87482e (Fedora 25, httpd-2.4.27-4.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-01ab87482e

Fedora Security Update FEDORA-2017-a52f252521 (Fedora 26, httpd-2.4.27-3.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a52f252521

Fedora Security Update FEDORA-2017-fdd3a98e8f (Fedora 27, httpd-2.4.27-8.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-fdd3a98e8f

SUSE Security Update SUSE-SU-2017:2542-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-September/003254.html

openSUSE Security Update openSUSE-SU-2017:2549-1:
http://lists.opensuse.org/opensuse-updates/2017-09/msg00095.html

Oracle Linux Security Advisory ELSA-2017-2882:
https://linux.oracle.com/errata/ELSA-2017-2882.html

Red Hat Security Advisory RHSA-2017:2882:
https://access.redhat.com/errata/RHSA-2017:2882

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben