Vulnerabilidad de DoS en Apache HTTP Server

Fecha de publicación

24/01/2019

Importancia

4 - Alta

Recursos Afectados

Apache HTTP Server versión 2.4.37 que tiene habilitado el módulo mod_ssl al usar OpenSSL 1.1.1 o posterior.

Descripción

Una vulnerabilidad en el módulo mod_ssl de Apache HTTP Server permitiría que un atacante remoto no autenticado genere una condición de denegación de servicio (DoS) en el sistema objetivo.

Solución

Apache ha publicado la versión 2.4.38 de Apache HTTP Server para corregir esta vulnerabilidad.

Detalle

Esta vulnerabilidad se origina debido al manejo inadecuado de los intentos de renegociación por parte del software afectado cuando se utiliza OpenSSL 1.1.1 o posterior. Un atacante podría explotar esta vulnerabilidad enviando una solicitud con información maliciosa a un sistema objetivo, causando que el módulo mod_ssl entre en un bucle y no responda, provocando una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-0190 para esta vulnerabilidad.

Listado de referencias

Apache HTTP Server 2.4 vulnerabilities

Apache HTTP Server mod_ssl Client Renegotiations Denial of Service Vulnerability

Etiquetas