2018-0570: Apache Software Foundation HTTP-Server (httpd): Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Sitzungsdaten

Historie:

Version 1 (2018-03-26 19:01)

Neues Advisory

Version 2 (2018-03-27 14:00)

Der Hersteller veröffentlicht Apache HTTP Server 2.4.33 zur Behebung der genannten Schwachstellen für alle Benutzer, die fehlerbereinigte Version 2.4.30 ist nur über die Quellcode-Repositories des Herstellers verfügbar. Der zwischenzeitlich auf einer Mailingliste angekündigte Patch zur Behebung der Schwachstelle CVE-2017-15710 in Apache HTTP Server 2.2.34 ist aktuell nicht mehr verfügbar. Dieser Versionszweig wird nicht mehr weiterentwickelt (End-of-long-Life), Benutzern wird ein Upgrade auf Apache 2.4 empfohlen.

Version 3 (2018-04-03 13:06)

Für Fedora 26 und 27 stehen 'httpd-2.4.33-2'- und 'mod_http2-1.10.16-1'-Pakete im Status 'testing' als Sicherheitsupdates bereit.

Version 4 (2018-04-04 12:07)

Debian stellt für die alte stabile Distribution Jessie und die stabile Distribution Stretch Backport-Sicherheitsupdates zur Verfügung, um die referenzierten Schwachstellen mit Ausnahme der CVE-2018-1302 , die in der Sicherheitsmeldung von Debian nicht aufgeführt wird, zu beheben.

Version 5 (2018-04-06 11:28)

Für SUSE Linux Enterprise Server for SAP 12 SP1 und Server 12 SP1 LTSS sowie SUSE OpenStack Cloud 6 stehen Backport-Sicherheitsupdates für 'apache2' bereit. Mittels der Sicherheitsupdates werden die referenzierten Schwachstellen, außer CVE-2018-1302, die in der Sicherheitsmeldung von SUSE nicht aufgelistet wird, behoben.

Version 6 (2018-04-09 12:30)

Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen mit Ausnahme von CVE-2018-1302 behoben werden. Diese Schwachstelle konnte bisher nur in Debug-Umgebungen nachgewiesen werden.

Version 7 (2018-04-19 11:42)

Für Fedora 26 steht ein neues Sicherheitsupdate in Form des Paketes 'mod_http2-1.10.18-1.fc26' im Status 'testing' zur Behebung der Schwachstelle CVE-2018-1302 bereit. Die Schwachstelle wurde bereits mittels des Fedora Security Updates FEDORA-2018-6855fa237d adressiert, das zugehörige Paket wurde mit Veröffentlichung dieser neueren Version allerdings in den Status 'obsolete' überführt. Die entsprechende Referenz wurde aus dieser Meldung entfernt.

Version 8 (2018-04-19 19:17)

Für Ubuntu 17.10, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für apache2 bereit, welche die hier aufgeführten Schwachstellen mit Ausnahme der CVE-2018-1302 adressieren.

Version 9 (2018-05-02 12:13)

Für Ubuntu 18.04 LTS steht ein Sicherheitsupdate für 'apache2' bereit. Über das Sicherheitsupdate werden die hier referenzierten Schwachstellen mit Ausnahme der Schwachstelle CVE-2018-1302 behoben.

Version 10 (2018-05-02 16:55)

Für die Distribution Fedora 26 steht ein neues Sicherheitsupdate in Form des Paketes 'httpd-2.4.33-4.fc26' zur Behebung der Schwachstellen mit Ausnahme der Schwachstelle CVE-2018-1302 im Status 'testing' bereit. Das zuvor veröffentlichte Paket httpd-2.4.33-2.fc26 (FEDORA-2018-22b25bab31) wurde mittlerweile in den Status 'obsolete' überführt und daher aus dieser Meldung entfernt.

Version 11 (2018-05-08 11:14)

Für SUSE Linux Enterprise Software Development Kit 12 SP2, Server for SAP 12 SP2, Server 12 SP3 und 12 SP2 LTSS sowie SUSE OpenStack Cloud 7 stehen Backport-Sicherheitsupdates für 'apache2' zur Behebung der Schwachstellen bereit.

Version 12 (2018-05-11 12:06)

openSUSE veröffentlicht für die Distribution openSUSE Leap 42.3 ein Sicherheitsupdate für 'apache2', um die Schwachstellen zu beheben.

Version 13 (2018-10-19 14:24)

Für SUSE Linux Enterprise Server 12 SP2 BCL steht ein Sicherheitsupdate für das Paket 'apache2' bereit, durch welches die sieben Schwachstellen behoben werden.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen im Apache HTTP-Server httpd ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service-Angriffe, das Umgehen von Sicherheitsvorkehrungen, die Manipulation von Sitzungsdaten und weitere nicht spezifizierte Angriffe. Eine weitere Schwachstelle kann von einem entfernten Angreifer nach erfolgreicher Authentifizierung ausgenutzt werden, um auf möglicherweise zugangsbeschränkte Server aus dem gleichen Server-Cluster zuzugreifen.

Die Apache Software Foundation informiert über die Schwachstellen in Apache httpd vor Version 2.4.30 und hat diese Version als Sicherheitsupdate zur Verfügung gestellt. Die aktuelle Version der Software ist 2.4.33. Die Schwachstelle CVE-2018-1283, durch die ein Angreifer Sitzungsdaten manipulieren kann, wird dabei als schwerwiegend angesehen, wenn die Konfiguration 'SessionEnv on' verwendet wird. Die weiteren Schwachstellen werden vom Hersteller als nicht schwerwiegend ('low Risk') angesehen, da sie nicht häufig verwendete Module oder spezielle Konfigurationen betreffen.

Schwachstellen:

CVE-2017-15710

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2017-15715

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1283

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Manipulation von Sitzungsdaten

CVE-2018-1301

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2018-1302

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht nicht spezifizierte Angriffe

CVE-2018-1303

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2018-1312

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.