2021-1961: Apache HTTP-Server: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-09-20 12:46)

Neues Advisory

Version 2 (2021-09-28 09:41)

Canonical stellt für Ubuntu 21.04, Ubuntu 20.04 LTS, Ubuntu 18.04, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates zur Behebung der für die eingesetzten Versionszweige relevanten Schwachstellen in 'apache2' bereit. Ubuntu 16.04 ESM und Ubuntu 14.04 ESM sind dabei von CVE-2021-33193 und CVE-2021-36160 nicht betroffen.

Version 3 (2021-09-28 19:14)

Mit USN-5090-1 zur Behebung der Schwachstellen in Apache HTTP Server wurde durch einen der Upstream-Fixes eine Regression in den UDS URIs eingeführt, welche nun behoben wird.

Version 4 (2021-09-29 09:48)

Die durch USN-5090-2 eingeführte Regression wird nun für Ubuntu 16.04 ESM adressiert.

Version 5 (2021-10-04 09:34)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'apache2' in Version 2.4.25-3+deb9u11 bereit, um die Schwachstellen CVE-2021-34798, CVE-2021-39275 und CVE-2021-40438 zu beheben.

Version 6 (2021-10-11 10:10)

Für Debian 10 Buster (oldstable) steht Version 2.4.38-3+deb10u6 und für Debian 11 Bullseye (stable) steht Version 2.4.51-1~deb11u1 von 'apache2' als Sicherheitsupdate bereit, um die Schwachstellen CVE-2021-34798, CVE-2021-36160, CVE-2021-39275 und CVE-2021-40438 zu beheben.

Version 7 (2021-10-12 15:50)

Für SUSE Linux Enterprise Server 15 SP1 SAP / LTSS / BCL und 15 SAP / LTSS, SUSE Linux Enterprise High Performance Computing 15 SP1 LTSS / ESPOS und 15 LTSS / ESPOS, SUSE Enterprise Storage 6 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 8 (2021-10-27 11:21)

Für die Distribution openSUSE Leap 15.3 sowie die SUSE Linux Enterprise Module for Server Applications 15 SP2 und SP3, for Packagehub Subpackages 15 SP3 und for Basesystem 15 SP2 und SP3 stehen Sicherheitsupdates für 'apache2' bereit, um die aufgeführten Schwachstellen mit Ausnahme von CVE-2021-33193 zu beheben, die bereits mittels früherer Updates adressiert wurde.

Version 9 (2021-11-03 08:07)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'apache2' bereit, welches die aufgeführten Schwachstellen mit Ausnahme von CVE-2021-33193 adressiert.

Betroffene Software

Server

Betroffene Plattformen

Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Die Apache Software Foundation stellt das offizielle Release 2.4.49 zur Behebung der Schwachstellen sowie weiterer nicht kritischer Fehler bereit.

Für Fedora 34 steht ein Sicherheitsupdate in Form des Pakets 'httpd-2.4.49-1.fc34' im Status 'testing' bereit, welches die Schwachstellen CVE-2021-34798, CVE-2021-36160, CVE-2021-39275 und CVE-2021-40438 sowie weitere von der Apache Software Foundation in Version 2.4.48 behobe Schwachstellen adressiert. Die Schwachstelle CVE-2021-33193 wird von diesem Sicherheitsupdate nicht behoben.

Schwachstellen:

CVE-2021-33193

Schwachstelle in Apache HTTP-Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-34798

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-36160

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-39275

Schwachstelle in Apache HTTP-Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-40438

Schwachstelle in Apache HTTP-Server ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.