Apache Version veraltet?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
pcace
Beiträge: 231
Registriert: 28.08.2011 01:08:55

Apache Version veraltet?

Beitrag von pcace » 16.03.2023 11:21:43

Hi,

ich hab grad mal wieder meinen Mail/Webserver mit nessus getestet ob da nicht irgendwas veraltet ist, und ich bekomme ein hohes Sicherheitsrisiko bei der installierten Apache2 version ausgegeben:

Code: Alles auswählen

CRITICALApache 2.4.x < 2.4.56 Multiple Vulnerabilities
Description
The version of Apache httpd installed on the remote host is prior to 2.4.56. It is, therefore, affected by multiple vulnerabilities as referenced in the 2.4.56 advisory.

- HTTP request splitting with mod_rewrite and mod_proxy: Some mod_proxy configurations on Apache HTTP Server versions 2.4.0 through 2.4.55 allow a HTTP Request Smuggling attack. Configurations are affected when mod_proxy is enabled along with some form of RewriteRule or ProxyPassMatch in which a non-specific pattern matches some portion of the user-supplied request-target (URL) data and is then re-inserted into the proxied request-target using variable substitution. For example, something like: RewriteEngine on RewriteRule ^/here/(.*) http://example.com:8080/elsewhere?$1 http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/ Request splitting/smuggling could result in bypass of access controls in the proxy server, proxying unintended URLs to existing origin servers, and cache poisoning. Acknowledgements: finder: Lars Krapf of Adobe (CVE-2023-25690)

- Apache HTTP Server: mod_proxy_uwsgi HTTP response splitting: HTTP Response Smuggling vulnerability in Apache HTTP Server via mod_proxy_uwsgi. This issue affects Apache HTTP Server: from 2.4.30 through 2.4.55.
Special characters in the origin response header can truncate/split the response forwarded to the client.
Acknowledgements: finder: Dimas Fariski Setyawan Putra (nyxsorcerer) (CVE-2023-27522)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.
ignorieren oder doch eine neue Apache version installieren? Sicherheitsupdates werden automatisch installiert und das ist mein Grundsystem:

Code: Alles auswählen

user@mail:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 11 (bullseye)
Release:	11
Codename:	bullseye
user@mail:~$ uname -a
Linux mail 5.10.0-19-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64 GNU/Linux
Vielen Dank schonmal für eine kurze Rückmeldung wie mit dem Problem (oder ist es eins?) umzugehen ist..
Gruß

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: Apache Version veraltet?

Beitrag von uname » 16.03.2023 13:08:04

Wenn dein Debian-Release nicht veraltet ist, dann ist im Normalfall auch dein Apache2 nicht veraltet. Schau z. B. Debianapache2. Und selbst wenn einige Quellen sagen, dass die Version (genauer die Versionsnummer) veraltet ist, so kümmert sich Debian natürlich um die Patche noch für die im jeweiligen Release enthaltene Version.

Bullseye hat die Version apache2 (2.4.54-1~deb11u1) laut Debianapache2.

Schau dir mal an, sollte übereinstimmen:

Code: Alles auswählen

dpkg -l |grep apache2
Gerne kannst du auch das Changelog anschauen.

Ich habe noch mal nach den CVEs geschaut. Scheint ja recht neu zu sein. Sind wohl noch nicht behoben. Da hilft nur abwarten.

https://security-tracker.debian.org/tra ... 2023-25690
https://security-tracker.debian.org/tra ... 2023-27522

Vielleicht weiß jemand, wie man es evtl. umgehen kann oder ob es nur Dinge wie mod_proxy bzw. mod_proxy_uwsgi und dort nur bestimmte Fälle betrifft.

DaCoda
Beiträge: 172
Registriert: 09.07.2019 21:58:10

Re: Apache Version veraltet?

Beitrag von DaCoda » 01.04.2023 20:23:37

Zuerst solltest du uns mal sagen welche Apache Version du installiert hast...

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Apache Version veraltet?

Beitrag von cosinus » 01.04.2023 20:54:06

uname hat geschrieben: ↑ zum Beitrag ↑
16.03.2023 13:08:04
Bullseye hat die Version apache2 (2.4.54-1~deb11u1) laut Debianapache2.
Bullseye hat aber auch Version 2.4.56 - das hier als Beispiel in einem meiner Server mit Bullseye:

Code: Alles auswählen

# dpkg -l|grep apache
ii  apache2                                       2.4.56-1~deb11u1                                 amd64        Apache HTTP Server
ii  apache2-bin                                   2.4.56-1~deb11u1                                 amd64        Apache HTTP Server (modules and other binary files)
ii  apache2-data                                  2.4.56-1~deb11u1                                 all          Apache HTTP Server (common files)
ii  apache2-utils                                 2.4.56-1~deb11u1                                 amd64        Apache HTTP Server (utility programs for web servers)
ii  libapache2-mod-php7.4                         7.4.33-1+deb11u3                                 amd64        server-side, HTML-embedded scripting language (Apache 2 module)
Und wenn man mit apt apache2 auflisten lässt kommt, wird sowohl 2.4.54 als auch 2.4.56 angezeigt:

Code: Alles auswählen

# apt list apache2 -a
Auflistung… Fertig
apache2/stable-security,now 2.4.56-1~deb11u1 amd64  [installiert]
apache2/stable 2.4.54-1~deb11u1 amd64

Antworten