2021-2656: Apache httpd: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-12-21 11:22)

Neues Advisory

Version 2 (2021-12-23 11:47)

Für Fedora 35 steht ein Sicherheitsupdate in Form des Paketes 'httpd-2.4.52-1.fc35' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Version 3 (2022-01-05 11:53)

Für Debian 10 Buster (oldstable) und Debian 11 Bullseye (stable) stehen Sicherheitsupdates für 'apache2' in Version 2.4.38-3+deb10u7 bzw. 2.4.52-1~deb11u2 bereit, um die Schwachstellen zu beheben.

Version 4 (2022-01-07 08:24)

Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 5 (2022-01-10 14:46)

Das Sicherheitsupdate für 'apache2' steht jetzt auch für Ubuntu 16.04 ESM und Ubuntu 14.04 ESM zur Verfügung.

Version 6 (2022-01-13 07:44)

Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS und 12 SP4 LTSS stehen Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 7 (2022-01-13 11:29)

IBM stellt für IBM HTTP Server, der von WebSphere Application Server verwendet wird, ein Sicherheitsupdate zur Behebung der Schwachstellen bereit. Die Fix Pack Version 9.0.5.11 wird zu einem späteren Zeitpunkt veröffentlicht, bis dahin steht der Interim Fix PH42862 zur Verfügung.

Version 8 (2022-01-18 08:07)

Für SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3 sowie SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 9 (2022-01-18 12:26)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 10 (2022-01-19 08:21)

Für SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 11 (2022-01-21 09:03)

Für SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP2 steht ein Sicherheitsupdate zur Verfügung, mit dem die beiden Schwachstellen in 'apache2' adressiert werden.

Version 12 (2022-02-02 09:36)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'apache2' in Version 2.4.25-3+deb9u12 bereit, um die beiden Schwachstellen zu beheben.

Version 13 (2022-02-17 08:50)

Für SUSE Linux Enterprise Server 12 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5 und SUSE Linux Enterprise Software Development Kit 12 SP5 stehen Sicherheitsupdates für 'apache2' bereit, um die Schwachstellen zu beheben.

Version 14 (2022-03-29 09:14)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'apache2' bereit, um die beiden Schwachstellen zu beheben. Die hier ebenfalls aufgelistete Schwachstelle CVE-2022-1096 betrifft dagegen das Paket 'chromium' (in openSUSE Backports SLE 15 SP3).

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe und einen Server-Site-Request-Forgery (SSRF)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Die Apache Software Foundation stellt das offizielle Release 2.4.52 zur Behebung der Schwachstellen sowie weiterer nicht kritischer Fehler bereit.

Schwachstellen:

CVE-2021-44224

Schwachstelle in Apache HTTP-Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-44790

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.