DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-0489: Apache Software Foundation HTTP-Server: Zwei Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff

Historie

Version 1 (2017-03-20 12:36)
Neues Advisory

Betroffene Software

Apache Software Foundation HTTP-Server

Betroffene Plattformen

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Studio Onsite 1.3
SUSE Linux Enterprise Server 11 SP4

Lösung

Patch

SUSE Security Update SUSE-SU-2017:0729-1

Beschreibung

Zwei Schwachstellen in Apache HTTP-Server ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs sowie das Umgehen von Sicherheitsvorkehrungen.

Für SUSE Studio Onsite 1.3 sowie für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo jeweils in Version 11 SP4 stehen Sicherheitsupdates für 'apache2' bereit.

Schwachstellen

CVE-2016-8743: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Umgehen von Sicherheitsvorkehrungen

Durch die unzureichende Umsetzung von RFC7230 im Umgang mit Leerzeichen und durch Interpretation verschiedener Steuerzeichen als Leerzeichen (Whitespace) besteht eine Schwachstelle in Apache HTTP-Server bei der Interaktion mit einer Proxy-Kette oder einem Backend-Server über 'mod_proxy' oder konventionelle CGI-Mechanismen. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen und mit speziell präparierten Anfrage-Kopfdaten (Request-Header) verschiedene Antworten von einem Server hinter einem Proxy-Agent erzeugen, wodurch der Proxy-Cache verunreinigt wird (Cache Poisoning) oder Inhalte umgelenkt werden können.

Im Kontext der Komponente Secure Global Desktop (Subkomponente: Web Server (Apache HTTP Server)) von Oracle Virtualization ist diese Schwachstelle schwer auszunutzen und ermöglicht unautorisierten Lesezugriff auf ein Subset der über Secure Global Desktop erreichbaren Daten.

CVE-2016-2161: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

Durch die unzureichende Validierung von Eingaben im Modul 'mod_auth_digest' besteht eine Schwachstelle in Apache HTTP-Server (httpd). Diese ermöglicht es einen Server zum Absturz zu bringen, wodurch auch jede Folgeinstanz trotz gültiger Eingaben abstürzt. Ein entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff durchführen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.