2016-1077: Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2016-07-06 14:29)

Neues Advisory

Version 2 (2016-07-11 12:23)

Für die Distributionen Fedora 23 und Fedora 24 stehen Sicherheitsupdates auf die HTTP Server Version 2.4.23 im Status 'testing' zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann ohne gültiges Zertifikat Zugriff auf eigentlich sichere Ressourcen des Apache HTTP-Servers erhalten, falls das Modul 'mod_http2' geladen und eines der Schemata h2 (HTTP/2 over TLS) oder h2c (HTTP/2 over TCP) aktiviert ist. Der Browser des Angreifers muss darüber hinaus das HTTP/2-Protokoll verwenden und mehr als eine Anfrage über eine einzelne Verbindung durchführen. Der Angreifer kann durch Ausnutzung der Schwachstelle Sicherheitsvorkehrungen umgehen und in der Folge Informationen ausspähen.

Die Apache Software Foundation informiert über die Schwachstelle im Apache HTTP-Server in den Versionen 2.4.18 bis 2.4.20 und stellt mit der Version 2.4.23 ein Sicherheitsupdate zur Behebung der aktiv ausgenutzten Schwachstelle bereit.

Schwachstellen:

CVE-2016-4979

Schwachstelle in Apache HTTP-Server ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.