2018-0423: Apache Traffic Server: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Historie:

Version 1 (2018-03-05 18:26)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann durch eine nicht näher beschriebene Schwachstelle im 'TLS Handshake' einen 'Core Dump' schreiben lassen, was dazu führt, dass ein Denial-of-Service (DoS)-Zustand eintritt. Eine weitere Schwachstelle in den Versionen bis inklusive 6.2.0 sowie 7.0.0 ermöglicht dem Angreifer durch mehrzeilige 'Host Header' ein fehlerhaftes Verbinden des 'Upstream Proxies' zu erzwingen.

Debian stellt für die stabile Distribution (Stretch) das Paket 'trafficserver' in Version 7.0.0-6+deb9u1 als Sicherheitsupdate zur Behebung beider Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2017-5660

Schwachstelle in Apache Traffic Server ermöglicht nicht spezifizierte Angriffe

CVE-2017-7671

Schwachstelle in Apache Traffic Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.