Der vor wenigen Tagen veröffentlichte Security-Bug im Webserver Apache, wurde nun durch ein Upate der Debian Entwickler für Jessie und Stretch, freigegeben.
Apache Optionsbleed-Bug / Use-After-Free-Bug
Ein Angreifer kann durch bestimmte Anfragen an einen Apache Webserver zufällige Speicherinhalte, wie Passwörter, Konfigurationsdateien, Codefragemente und weitere Informationen, abrufen. Damit dies möglich ist müssen jedoch bestimmte und nicht ganz einfach vorhandene Voraussetzung existieren.
So muss z.B. in der .htaccess, die auf vielen Webseiten existiert, eine Option wie die <limit></limit> konfiguriert sein. Der Angreifer sendet nun Anfragen an diese Webseite die der Webserver auswertet. Kenn dieser eine bestimmte Option der .htaccess Datei nicht, wir der Webserver einen entsprechende Header neu zusammensetzen, wobei es wohl zu einem Memory Corruption kommen kann. Dabei enthält der String dann weitere zufällige Informationen aus dem Speicher.
Besonders gefährlich ist dies für viele Shared-Hoster, da hier u.U. Informationen von anderen, meist im Chroot befindlichen Webseiten”, mit preis gegeben werden.
Das Apache Team hat die Ursache gefunden und diesen Use-After-Free-Bug, geschlossen. Das Debian Security Team hat auch reagiert und folgende Updates aktuell veröffentlicht:
| Source Package | Release | Version | Status |
|---|---|---|---|
| apache2 (PTS) | wheezy | 2.2.22-13+deb7u6 | vulnerable |
| wheezy (security) | 2.2.22-13+deb7u11 | vulnerable | |
| jessie | 2.4.10-10+deb8u9 | vulnerable | |
| jessie (security) | 2.4.10-10+deb8u11 | fixed | |
| stretch | 2.4.25-3+deb9u1 | vulnerable | |
| stretch (security) | 2.4.25-3+deb9u3 | fixed | |
| buster, sid | 2.4.27-5 | vulnerable |
The information below is based on the following data on fixed versions.
| Package | Type | Release | Fixed Version | Urgency | Origin | Debian Bugs |
|---|---|---|---|---|---|---|
| apache2 | source | (unstable) | (unfixed) | 876109 | ||
| apache2 | source | jessie | 2.4.10-10+deb8u11 | DSA-3980-1 | ||
| apache2 | source | stretch | 2.4.25-3+deb9u3 | DSA-3980-1 |
Quelle: https://security-tracker.debian.org/tracker/CVE-2017-9798