2019-0184: Apache HTTP Server: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-01-29 12:14): Neues Advisory
Version 2 (2019-02-27 11:46): Für die SUSE Linux Enterprise Produkte Software Development Kit und Server jeweils in Version 12 SP3 und 12 SP4 stehen Backport-Sicherheitsupdates für das Paket 'apache2' bereit, welche die Schwachstellen CVE-2018-17189 und CVE-2018-17199 adressieren.
Version 3 (2019-02-27 14:10): Für SUSE Linux Enterprise Module for Server Applications 15 und SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 stehen Backport-Sicherheitsupdates für das Paket 'apache2' bereit, welche die Schwachstellen CVE-2018-17189 und CVE-2018-17199 adressieren.
Version 4 (2019-03-07 10:30): openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0 ein Sicherheitsupdate für 'apache2', welches die Schwachstellen CVE-2018-17189 und CVE-2018-17199 behebt.
Version 5 (2019-03-08 17:08): Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'apache2' bereit, welches die Schwachstellen CVE-2018-17189 und CVE-2018-17199 behebt.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen im Apache HTTP Server ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle ermöglicht dem Angreifer die Wiederaufnahme eigentlich abgelaufener Sitzungen.

Die Apache Software Foundation informiert über die Schwachstellen und stellt Apache HTTP-Server 2.4.38 als Sicherheitsupdate bereit.

Schwachstellen:

CVE-2018-17189

Schwachstelle in Apache HTTP Server ermöglicht Denial-of-Service-Angriff

CVE-2018-17199

Schwachstelle in Apache HTTP Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-0190