Actualización Apache
- Publicado: 07/05/2019
- Importancia: Alta
- Recursos afectados
Apache HTTP ha publicado actualizaciones para corregir para múltiples vulnerabilidades.
CVE-2019-0211: el código que se ejecuta en procesos (padre) o subprocesos (hijo) secundarios con menos privilegios podría ejecutar código malicioso con los privilegios del proceso padre generalmente root, mediante la manipulación de indicadores.
Productos que afecta:
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4. 20, 2.4.18, 2.4.17
CVE-2019-0217: una condición de carrera (una salida o estado de un proceso es dependiente de una secuencia de eventos que se ejecutan en orden arbitrario y trabajan sobre un mismo recurso compartido) en mod_auth_digest (autenticación de usuario mediante la autenticación de resumen MD5) cuando se ejecuta en un servidor enhebrado podría permitir a un usuario con credenciales válidas autenticarse usando otro nombre de usuario, evitando las restricciones de control de acceso configuradas.
Productos afectados:
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0
CVE-2019-0215: un error en mod_ssl (criptografía fuerte que utiliza los protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS)) al utilizar la verificación de certificados de cliente por ubicación con TLSv1.3 (protocolo de seguridad de la capa de transporte, proporciona privacidad y rendimiento), permite eludir las restricciones de control de acceso configuradas.
Productos afectados:
Apache HTTP Server 2.4.38, 2.4.37
CVE-2019-0197: HTTP/2 está habilitado para un http: host o H2Upgrade, en donde una solicitud de actualización de http/1.1 a http/2 que no fuera la primera solicitud en una conexión podía provocar una configuración errónea y un fallo.
Productos afectados:
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34
CVE-2019-0196: Una entrada de red difusa, la gestión de peticiones http/2 puede utilizarse para acceder a acceder a la memoria liberada a la comparación de cadenas cuando s determina el método de petición y puede procesar la petición de forma incorrecta.
Productos afectados:
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18
CVE-2019-0220: El componente de ruta de una URL contiene múltiples barras oblicuas consecutivas se debe tener en cuenta los duplicados en expresiones regulares, ya que por otros aspectos de procesamiento el servidor podría colapsar.
Productos afectados:
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0
- Etiquetas