Sikkerhetsoppdatering av Apache HTTP-tjener

Publisert: 11.07.2016 | Sist endret: 11.01.2017

Oppdateringen rettet et sikkerhetshull mot HTTP/2 og to programvarefeil.

Apache har publisert (5. juli) en oppdatering til Apache HTTP-tjener (httpd). Oppdateringen rettet et sikkerhetshull mot HTTP/2 [1]. I tillegg ble to programvarefeil rettet [2][3].

Sårbart produkt

  • Apache HTTP-tjener ("httpd")

NorCERTs anbefaling:

NorCERT anbefaler systemadministratorer å se på aktuell dokumentasjon og oppdatere programvaren når det lar seg gjøre.

Detaljer om sårbarhetene

Sikkerhetshullet gjorde det mulig å komme seg forbi TLS sertifikat autentisering for Apache tjenere med HTTP/2 påskrudd.

Denne svakheten har fått CVE-referansen: CVE-2016-4979.

Utnyttelse

NorCERT har til nå (6. juli) ikke observert utnyttelser av denne svakheten.

Referanser:

  1. https://tools.ietf.org/html/rfc7540
  2. http://www.apache.org/dist/httpd/CHANGES_2.4.23
  3. http://www.apache.org/dist/httpd/Announcement2.4.html