2017-1058: Apache Software Foundation HTTP-Server: Mehrere Schwachstellen ermöglichen u.a. die Durchführung von Denial-of-Service-Angriffen

Historie:

Version 1 (2017-06-20 18:07): Neues Advisory
Version 2 (2017-06-23 12:23): Debian stellt für die Distributionen Jessie (oldstable) und Stretch (stable) Sicherheitsupdates für 'apache2' bereit.
Version 3 (2017-06-27 11:57): Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für 'apache2' bereit. Die Schwachstelle CVE-2017-7659 wird darin nicht adressiert, da diese den eingesetzten Versionszweig nicht betrifft.
Version 4 (2017-06-29 11:54): Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form der Pakete 'httpd-2.4.26-1.fc24', 'httpd-2.4.26-1.fc25' und 'httpd-2.4.26-1.fc26' im Status 'testing' bereit. Die Schwachstellen CVE-2017-3167, CVE-2017-3169 und CVE-2017-7679 werden in einem Sicherheitsupdate für SUSE Linux Enterprise Server und Server for Raspberry Pi 12 SP2 sowie SUSE Linux Enterprise Software Development Kit 12 SP2 behoben.
Version 5 (2017-07-07 11:22): Für openSUSE Leap 42.2 stehen Sicherheitsupdates für 'apache2' bereit, welche die Schwachstellen CVE-2017-3167, CVE-2017-3169 und CVE-2017-7679 adressieren.
Version 6 (2017-07-11 20:36): Der Hersteller stellt zur Behebung der Schwachstellen nun die Version 2.2.34 als Sicherheitsupdate für den Versionszweig 2.2 bereit.
Version 7 (2017-07-13 11:07): Für Fedora 25 steht ein neues Sicherheitsupdate in Form des Paketes 'httpd-2.4.27-2.fc25' im Status 'testing' bereit. Die vorherigen Sicherheitsupdates FEDORA-2017-3123540dd0 und FEDORA-2017-620085cede wurden in den Status 'obsolete' versetzt und deshalb entfernt. Die entsprechenden Sicherheitsupdates für Fedora 24 und 26 befinden sich dagegen im Status 'stable'.
Version 8 (2017-07-20 20:13): IBM informiert über Schwachstellen in der IBM HTTP Server (powered by Apache) Komponente in allen Editionen des WebSphere Application Servers und damit gebündelten Produkten. Für die Versionszweige 7.0 (Versionen 7.0.0.0 - 7.0.0.43), 8.0 (Versionen 8.0.0.0 - 8.0.0.13), 8.5 (Versionen 8.5.0.0 - 8.5.5.11) und 9.0 (Versionen 9.0.0.0 - 9.0.0.4) wird der Interim Fix PI82481 als Sicherheitsupdate bereitgestellt. Fix Pack 7.0.0.45 wird für das 2. Quartal 2018, Fix Pack 8.0.0.14 für den 16. Oktober 2017), Fix Pack 8.5.5.12 zur Behebung von CVE-2017-3167 und CVE-2017-7668 für den 21. Juli 2017 bzw. Fix Pack 8.5.5.13 zur Behebung von CVE-2017-7679 für den 05. Februar 2018 und Fix Pack 9.0.0.5 für den 29. September 2017 angekündigt.

Betroffene Software

Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Apache Software Foundation HTTP-Server ermöglichen es einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service-Angriffe durchzuführen, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen.

Der Hersteller stellt zur Behebung der Schwachstellen die Version 2.4.26 als Sicherheitsupdate für den Versionszweig 2.4 bereit. Für den Versionszweig 2.2 gibt es derzeit nur ein Sicherheitsupdate für den Entwicklungszweig '-dev' in Form der Version 2.2.33-dev, eine Vollversion wird laut Hersteller folgen. Der Versionszweig 2.2 ist darüber hinaus nicht von der Schwachstelle CVE-2017-7659 betroffen.

Schwachstellen:

CVE-2017-3167

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-3169

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2017-7659

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2017-7668

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff oder Ausspähen von Informationen

CVE-2017-7679