JARVIS
Der vor wenigen Tagen veröffentlichte Security-Bug im Webserver Apache, wurde nun durch ein Upate der Debian Entwickler für Jessie und Stretch, freigegeben.
Apache Optionsbleed-Bug / Use-After-Free-Bug
Ein Angreifer kann durch bestimmte Anfragen an einen Apache Webserver zufällige Speicherinhalte, wie Passwörter, Konfigurationsdateien, Codefragemente und weitere Informationen, abrufen. Damit dies möglich ist müssen jedoch bestimmte und nicht ganz einfach vorhandene Voraussetzung existieren.
So muss z.B. in der .htaccess, die auf vielen Webseiten existiert, eine Option wie die <limit></limit> konfiguriert sein. Der Angreifer sendet nun Anfragen an diese Webseite die der Webserver auswertet. Kenn dieser eine bestimmte Option der .htaccess Datei nicht, wir der Webserver einen entsprechende Header neu zusammensetzen, wobei es wohl zu einem Memory Corruption kommen kann. Dabei enthält der String dann weitere zufällige Informationen aus dem Speicher.
Besonders gefährlich ist dies für viele Shared-Hoster, da hier u.U. Informationen von anderen, meist im Chroot befindlichen Webseiten“, mit preis gegeben werden.
Das Apache Team hat die Ursache gefunden und diesen Use-After-Free-Bug, geschlossen. Das Debian Security Team hat auch reagiert und folgende Updates aktuell veröffentlicht:
| Source Package | Release | Version | Status |
|---|---|---|---|
| apache2 (PTS) | wheezy | 2.2.22-13+deb7u6 | vulnerable |
| wheezy (security) | 2.2.22-13+deb7u11 | vulnerable | |
| jessie | 2.4.10-10+deb8u9 | vulnerable | |
| jessie (security) | 2.4.10-10+deb8u11 | fixed | |
| stretch | 2.4.25-3+deb9u1 | vulnerable | |
| stretch (security) | 2.4.25-3+deb9u3 | fixed | |
| buster, sid | 2.4.27-5 | vulnerable |
The information below is based on the following data on fixed versions.
| Package | Type | Release | Fixed Version | Urgency | Origin | Debian Bugs |
|---|---|---|---|---|---|---|
| apache2 | source | (unstable) | (unfixed) | 876109 | ||
| apache2 | source | jessie | 2.4.10-10+deb8u11 | DSA-3980-1 | ||
| apache2 | source | stretch | 2.4.25-3+deb9u3 | DSA-3980-1 |
Quelle: https://security-tracker.debian.org/tracker/CVE-2017-9798
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.