Kurzinfo CB-K17/1587 Update 3

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Apache Software Foundation HTTP-Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Datum: 12.10.2017
Software: Apache Software Foundation HTTP-Server <= 2.2.34, Apache Software Foundation HTTP-Server >= 2.4.0, Apache Software Foundation HTTP-Server <= 2.4.27
Plattform: SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux, openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Oracle Linux 7, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-9798
Bezug: Ubuntu Security Notice USN-3425-1
Revisions Historie
  • Version: 4

    Für Oracle Linux 7 (x86_64) sowie die Red Hat Enterprise Linux 7 Produkte Server, Server for ARM, Workstation, Desktop und Scientific Computing sowie Server 7.4 AUS, 7.4 EUS, 7.4 TUS und EUS Compute Node 7.4 stehen Sicherheitsupdates für httpd zur Behebung der Schwachstelle bereit.

  • Version: 3

    Für Fedora 25, 26 und 27 stehen die Pakete 'httpd-2.4.27-4.fc25', 'httpd-2.4.27-3.fc26' und 'httpd-2.4.27-8.fc27' im Status 'testing' als Sicherheitsupdates bereit. Ebenfalls behoben wird die Schwachstelle mittels Sicherheitsupdates des Pakets 'apache2' für openSUSE Leap 42.2 und openSUSE Leap 42.3. Für die SUSE Linux Enterprise Produkte Software Development Kit und Server in den Versionen 12 SP2 und 12 SP3 sowie Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates in Form aktualisierter 'apache2' Pakete bereit.

  • Version: 2

    Debian stellt für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie Backport-Sicherheitsupdates für 'apache2' bereit.

  • Version: 1

    Neues Advisory

Beschreibung

Der Apache Webserver, ein quelloffenes und freies Produkt, ist der meistbenutzte Webserver im Internet.

Ein entfernter, nicht authentisierter Angreifer kann eine unter dem Namen 'OTIONSBLEED' veröffentlichte Use-after-free-Schwachstelle in Apache HTTP-Server (httpd) durch das Senden einer 'HTTP OPTIONS'-Anfrage ausnutzen, um potenziell sensitive Informationen aus dem Serverprozessspeicher auszuspähen. Der Hersteller bestätigt die Schwachstelle und stellt zur Behebung einen Patch in seinem Subversion-Repository bereit (Referenz anbei). Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04 LTS Sicherheitsupdates für 'apache2' bereit.

  1. Schwachstelle CVE-2017-9798 (NVD)

  2. Apache Subversion Repository: Patch für Optionsbleed

  3. Ubuntu Security Notice USN-3425-1

  4. The Fuzzing Project: Optionsbleed - HTTP OPTIONS method can leak Apache's server memory

  5. Debian Security Advisory DSA-3980-1

  6. Fedora Security Update FEDORA-2017-01ab87482e (Fedora 25, httpd-2.4.27-4.fc25)

  7. Fedora Security Update FEDORA-2017-a52f252521 (Fedora 26, httpd-2.4.27-3.fc26)

  8. Fedora Security Update FEDORA-2017-fdd3a98e8f (Fedora 27, httpd-2.4.27-8.fc27)

  9. SUSE Security Update SUSE-SU-2017:2542-1

  10. openSUSE Security Update openSUSE-SU-2017:2549-1

  11. Oracle Linux Security Advisory ELSA-2017-2882

  12. Red Hat Security Advisory RHSA-2017:2882

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.