DFN-CERT

Advisory-Archiv

2023-1895: Red Hat JBoss Core Services Apache HTTP-Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-08-16 12:06)
Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie HTTP-Request-Smuggling-, HTTP-Response-Smuggling- und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um einen HTTP-Response-Splitting-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Red Hat stellt Red Hat JBoss Core Services Apache HTTP Server 2.4.57 für Red Hat Enterprise Linux 7 (x86_64) und 8 (x86_64) als Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2022-24963

Schwachstelle in Apache Portable Runtime (APR) ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-28331

Schwachstelle in Apache Portable Runtime Utility (APR-util) ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-36760

Schwachstelle in Apache httpd ermöglicht u. a. HTTP-Request-Smuggling-Angriff

CVE-2022-37436

Schwachstelle in Apache httpd ermöglicht HTTP-Response-Splitting-Angriff

CVE-2022-48279

Schwachstelle in ModSecurity ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-24021

Schwachstelle in ModSecurity ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-27522

Schwachstelle in Apache httpd ermöglicht HTTP-Response-Smuggling-Angriff

CVE-2023-28319

Schwachstelle in curl und libcurl ermöglicht Ausspähen von Informationen

CVE-2023-28321

Schwachstelle in curl und libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-28322

Schwachstelle in libcurl ermöglicht u. a. Ausspähen von Informationen

CVE-2023-28484

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2023-29469

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.