2018-1412: Apache HTTP-Server (httpd): Zwei Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-07-18 17:47): Neues Advisory
Version 2 (2018-07-20 10:52): Für Fedora 28 steht ein Sicherheitsupdate in Form des Pakets 'httpd-2.4.34-1.fc28' zur Behebung der Schwachstelle CVE-2018-8011 im Status 'testing' bereit. Die Schwachstelle CVE-2018-1333 besteht im Modul 'mod_http2', das in Fedora nicht im Paket 'httpd' sondern im Paket 'mod_http2' enthalten ist. In diesem Paket wurde die Schwachstelle für Fedora 28 bereits behoben.
Version 3 (2018-07-20 16:31): Das Sicherheitsupdate für Fedora 28 in Form des Pakets 'httpd-2.4.34-1.fc28' ist defekt aufgrund einer Regression. Inzwischen steht das Paket 'httpd-2.4.34-3.fc28' als fehlerbereinigte Version bereit. Das neue Update befindet sich aber noch im Status 'pending'.
Version 4 (2018-07-23 11:41): Für Fedora 27 steht ein Sicherheitsupdate in Form des Pakets 'httpd-2.4.34-3.fc27' zur Behebung der Schwachstelle CVE-2018-8011 im Status 'testing' bereit.
Version 5 (2018-08-20 11:33): Für SUSE Linux Enterprise Module for Server Applications 15 und openSUSE Leap 15.0 stehen Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer mit Hilfe speziell präparierter HTTP-Anfragen die Ausführung verschiedener Denial-of-Service (DoS)-Angriffe. Durch wiederholte Anfragen kann der Angreifer vermutlich einen kompletten Denial-of-Service (DoS)-Zustand des Webservers bewirken.

Die Apache Software Foundation stellt das offizielle Release 2.4.34 zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2018-1333

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2018-8011