UPDATE: DFN-CERT-2016-1153 Apache Software Foundation HTTP-Server: Eine "Schwachstelle" ermöglicht HTTP-Proxy-Umleitungen [Linux][Debian][Fedora][RedHat][SuSE]

DFN-CERT portal at dfn-cert.de
Wed Jul 20 16:55:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 3 (20.07.2016):
    Debian stellt für die stabile Distribution Jessie ein Sicherheitsupdate
    für 'apache2' bereit, um die Schwachstelle CVE-2016-5387 zu adressieren.
  Version 2 (19.07.2016):
    Für openSUSE Leap 42.1 und openSUSE 13.2 stehen Sicherheitsupdates für
    'apache2' zur Verfügung.
  Version 1 (19.07.2016):
    Neues Advisory

Betroffene Software:

  Apache Software Foundation HTTP-Server <= 2.4.23
  Apache Software Foundation Tomcat
  

Betroffene Plattformen:

  SUSE Linux Enterprise Software Development Kit  11 SP4
  SUSE Linux Enterprise Software Development Kit  12 SP1
  Red Hat Software Collections 1 RHEL 6
  Red Hat Software Collections 1 RHEL 7
  SUSE Studio Onsite 1.3
  Canonical Ubuntu Linux 12.04 LTS
  Canonical Ubuntu Linux 14.04 LTS
  Canonical Ubuntu Linux 15.10
  Canonical Ubuntu Linux 16.04 LTS
  Debian Linux 8.5 Jessie
  openSUSE 13.2
  openSUSE Leap 42.1
  SUSE Linux Enterprise Server 11 SP4
  SUSE Linux Enterprise Server 12 SP1
  Red Hat Enterprise Linux Desktop 5 Client
  Red Hat Enterprise Linux Desktop 5 Workstation/Client
  Red Hat Enterprise Linux Desktop 6
  Red Hat Enterprise Linux Desktop 7
  Red Hat Enterprise Linux HPC Node 6
  Red Hat Enterprise Linux HPC Node 7
  Red Hat Enterprise Linux HPC Node 7.2 EUS
  Red Hat Enterprise Linux Server 5
  Red Hat Enterprise Linux Server 6
  Red Hat Enterprise Linux Server 7
  Red Hat Enterprise Linux Server 7.2 AUS
  Red Hat Enterprise Linux Server 7.2 EUS
  Red Hat Enterprise Linux Workstation 6
  Red Hat Enterprise Linux Workstation 7
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein entfernter, nicht authentisierter Angreifer kann das zu RFC 3875 Sektion
4.1.18 konforme und somit eigentlich korrekte Verhalten im Apache
HTTP-Server (httpd, mod_fcgid) bis Version 2.4.23 sowie im Apache Perl
Module (mod_perl) und Apache Tomcat ausnutzen, um mit einem präparierten
Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr einer
Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten
("httpoxy"-Problem). 

Das Apache Software Foundation Project informiert darüber, dass die
CVE-2016-5387 für die beschriebenen Mitigationsmaßnahmen vergeben wurde.
Außerdem gelten alle CVE-Identifier, welche dieselben Mitigationen für
andere Apache-Module betreffen, als Duplikate von CVE-2016-5387 und werden
deshalb zurückgezogen.

Für SUSE Linux Enterprise Software Development Kit 12-SP1 und 11-SP4, Server
12-SP1 und 11-SP4 sowie SUSE Studio Onsite 1.3 stehen Sicherheitsupdates für
'apache2' bereit. In SUSE Security Update SUSE-SU-2016:1820-1 wird außerdem
CVE-2016-1000104 für 'apache2-mod_fcgid' referenziert (siehe auch Apache
Software Foundation "httpoxy" Response).

Red Hat stellt Sicherheitsupdates in Form aktualisierter Pakete von 'httpd'
für die Red Hat Enterprise Linux (RHEL) Produkte Desktop 5 (Client), 6 und
7, Red Hat Enterprise Linux HPC Node 6 und 7, Red Hat Enterprise Linux
Server 5, 6, 7, AUS 7.2 und EUS 7.2 sowie Red Hat Enterprise Linux
Workstation 5 (Client), 6 und 7 zur Verfügung. Für Red Hat Software
Collections 1 for RHEL 6 / RHEL 7 stehen Sicherheitsupdates in Form
aktualisierter Pakete von 'httpd24-httpd' bereit, welche außerdem die
Schwachstelle CVE-2016-4979 adressieren (siehe gesondertes Advisory).

Canonical stellt Sicherheitsupdates für die Distributionen Ubuntu 16.04 LTS,
Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS zur Verfügung.

Für Fedora 23 und 24 stehen Sicherheitsupdates in Form der Pakete
httpd-2.4.23-4.fc23 und httpd-2.4.23-4.fc24 im Status 'pending' bereit.


Patch:

  Fedora Security Update FEDORA-2016-9fd9bfab9e (Fedora 24, httpd-2.4.23-4)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-9fd9bfab9e>

Patch:

  Fedora Security Update FEDORA-2016-df0726ae26 (Fedora 23, httpd-2.4.23-4)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-df0726ae26>

Patch:

  Red Hat Security Advisory RHSA-2016:1420

  <http://rhn.redhat.com/errata/RHSA-2016-1420.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1421

  <http://rhn.redhat.com/errata/RHSA-2016-1421.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1422

  <http://rhn.redhat.com/errata/RHSA-2016-1422.html>

Patch:

  SUSE Security Update SUSE-SU-2016:1818-1

  <http://lists.suse.com/pipermail/sle-security-updates/2016-July/002157.html>

Patch:

  SUSE Security Update SUSE-SU-2016:1819-1

  <http://lists.suse.com/pipermail/sle-security-updates/2016-July/002158.html>

Patch:

  SUSE Security Update SUSE-SU-2016:1820-1

  <http://lists.suse.com/pipermail/sle-security-updates/2016-July/002159.html>

Patch:

  Ubuntu Security Notice USN-3038-1

  <http://www.ubuntu.com/usn/usn-3038-1/>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1824-1

  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00059.html>

Patch:

  Debian Security Advisory DSA-3623-1

  <https://www.debian.org/security/2016/dsa-3623>


CVE-2016-5387: "Schwachstelle" in Apache HTTP-Server (httpd) ermöglicht
  Umgehen von Sicherheitsvorkehrungen

  Der Apache HTTP-Server (httpd) bis Version 2.4.23 ist konform zu RFC 3875
  Sektion 4.1.18 und schützt deshalb Anwendungen nicht vor nicht
  vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
  Dadurch ist es möglich, mittels eines präparierten Proxy-Headers in einem
  HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung  auf einen
  beliebigen Proxy-Server umzuleiten ("httpoxy"-Problem). HINWEIS: Der
  Hersteller teilt dazu mit, dass es sich bei dieser CVE um Anpassungen zur
  Vermeidung dieses Problems handelt, mit anderen Worten, es handelt sich
  hierbei nicht um eine Schwachstelle im Sinne eines fehlerhaften Verhaltens.


CVE-2016-1000104: "Schwachstelle" in Apache HTTP-Server (mod_fcgid)
  ermöglicht Umgehen von Sicherheitsvorkehrungen

  Apache HTTP-Server (mod_fcgid) verhält sich konform zu RFC 3875 Sektion
  4.1.18 und schützt deshalb Anwendungen nicht vor nicht vertrauenswürdigen
  Client-Daten in der HTTP_PROXY-Umgebungsvariablen. Dadurch ist es möglich,
  mittels eines präparierten Proxy-Headers in einem HTTP-Request den
  ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen Proxy-Server
  umzuleiten ("httpoxy"-Problem). HINWEIS: Der Hersteller teilt dazu mit, dass
  die für Apache HTTP-Server (httpd) beschriebenen Mitigationsmaßnahmen
  ebenfalls alle Risiken für CGI-Skripte beseitigen, die durch mod_fcgid
  aufgerufen werden. Deshalb werden alle entsprechenden CVE-Identifier für
  mod_fcgid als Duplikate von CVE-2016-5387 zurückgezogen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1153/>

Schwachstelle CVE-2016-4979 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4979>

Fedora Security Update FEDORA-2016-9fd9bfab9e (Fedora 24, httpd-2.4.23-4):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-9fd9bfab9e>

Fedora Security Update FEDORA-2016-df0726ae26 (Fedora 23, httpd-2.4.23-4):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-df0726ae26>

Red Hat Security Advisory RHSA-2016:1420:
  <http://rhn.redhat.com/errata/RHSA-2016-1420.html>

Red Hat Security Advisory RHSA-2016:1421:
  <http://rhn.redhat.com/errata/RHSA-2016-1421.html>

Red Hat Security Advisory RHSA-2016:1422:
  <http://rhn.redhat.com/errata/RHSA-2016-1422.html>

SUSE Security Update SUSE-SU-2016:1818-1:
  <http://lists.suse.com/pipermail/sle-security-updates/2016-July/002157.html>

SUSE Security Update SUSE-SU-2016:1819-1:
  <http://lists.suse.com/pipermail/sle-security-updates/2016-July/002158.html>

SUSE Security Update SUSE-SU-2016:1820-1:
  <http://lists.suse.com/pipermail/sle-security-updates/2016-July/002159.html>

Ubuntu Security Notice USN-3038-1:
  <http://www.ubuntu.com/usn/usn-3038-1/>

openSUSE Security Update openSUSE-SU-2016:1824-1:
  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00059.html>

"httpoxy" - Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
  <https://httpoxy.org/>

Apache Software Foundation Projects "httpoxy" Response (CVE-2016-5387):
  <https://www.apache.org/security/asf-httpoxy-response.txt>

Schwachstelle CVE-2016-1000104 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1000104>

Schwachstelle CVE-2016-5387 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5387>

Debian Security Advisory DSA-3623-1:
  <https://www.debian.org/security/2016/dsa-3623>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160720/f742bedc/attachment.bin>


More information about the Security-Announce mailing list