DFN-CERT

Advisory-Archiv

2017-1659: Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-09-20 13:45)
Neues Advisory
Version 2 (2017-09-21 11:40)
Debian stellt für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie Backport-Sicherheitsupdates für 'apache2' bereit.
Version 3 (2017-09-22 12:51)
Für Fedora 25, 26 und 27 stehen die Pakete 'httpd-2.4.27-4.fc25', 'httpd-2.4.27-3.fc26' und 'httpd-2.4.27-8.fc27' im Status 'testing' als Sicherheitsupdates bereit. Ebenfalls behoben wird die Schwachstelle mittels Sicherheitsupdates des Pakets 'apache2' für openSUSE Leap 42.2 und openSUSE Leap 42.3. Für die SUSE Linux Enterprise Produkte Software Development Kit und Server in den Versionen 12 SP2 und 12 SP3 sowie Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates in Form aktualisierter 'apache2' Pakete bereit.
Version 4 (2017-10-12 13:51)
Für Oracle Linux 7 (x86_64) sowie die Red Hat Enterprise Linux 7 Produkte Server, Server for ARM, Workstation, Desktop und Scientific Computing sowie Server 7.4 AUS, 7.4 EUS, 7.4 TUS und EUS Compute Node 7.4 stehen Sicherheitsupdates für httpd zur Behebung der Schwachstelle bereit.
Version 5 (2017-10-13 11:11)
Für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Server for SAP 12 SP1 und Server 12 SP1 LTSS stehen Sicherheitsupdates für 'apache2' zur Verfügung, um die Schwachstelle zu beheben.
Version 6 (2017-10-24 16:27)
Für Red Hat Software Collections (for RHEL Server / Workstation) 1 stehen Sicherheitsupdates für 'httpd24', 'httpd24-curl', 'httpd24-httpd', 'httpd24-mod_auth_kerb' und 'httpd24-nghttp2' bereit.
Version 7 (2017-10-25 11:53)
Canonical stellt für die Distribution Ubuntu 12.04 LTS (ESM, Extended Security Maintenance) ein Sicherheitsupdate für 'apache2' zur Verfügung.
Version 8 (2017-10-27 19:56)
Für Fedora 25 steht ein neues Sicherheitsupdate in Form des Paketes 'httpd-2.4.29-1.fc25' im Status 'testing' bereit, welches das frühere Sicherheitsupdate FEDORA-2017-01ab87482e ersetzt, das in den Status 'obsolete' versetzt und darum aus dieser Meldung entfernt wurde. Die Sicherheitsupdates für Fedora 26 und 27 befinden sich im Status 'stable'.
Version 9 (2017-11-01 11:20)
Für SUSE Studio Onsite 1.3 und die SUSE Linux Enterprise 11 Produkte Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4 sowie für SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. Im Sicherheitshinweis werden zusätzlich die älteren Schwachstellen CVE-2017-7668, CVE-2017-3169, CVE-2017-3167 und CVE-2017-7679 referenziert, die mit dem vorigen Update auf Version 2.2.34 behoben wurden. Zusätzlich werden hier die Schwachstellen CVE-2009-2699, CVE-2010-0425, CVE-2012-0021 und CVE-2014-0118 kommentarlos erwähnt.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine unter dem Namen 'OTIONSBLEED' veröffentlichte Use-after-free-Schwachstelle in Apache HTTP-Server (httpd) durch das Senden einer 'HTTP OPTIONS'-Anfrage ausnutzen, um potenziell sensitive Informationen aus dem Serverprozessspeicher auszuspähen.

Der Hersteller bestätigt die Schwachstelle und stellt zur Behebung einen Patch in seinem Subversion-Repository bereit (Referenz anbei).

Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04 LTS Sicherheitsupdates für 'apache2' bereit.

Schwachstellen:

CVE-2017-9798

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.