Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de DoS en Apache HTTP Server

Fecha de publicación: 24/01/2019

Importancia: Alta

Recursos afectados:

  • Apache HTTP Server versión 2.4.37 que tiene habilitado el módulo mod_ssl al usar OpenSSL 1.1.1 o posterior.

Descripción:

Una vulnerabilidad en el módulo mod_ssl de Apache HTTP Server permitiría que un atacante remoto no autenticado genere una condición de denegación de servicio (DoS) en el sistema objetivo.

Solución:

Detalle:

  • Esta vulnerabilidad se origina debido al manejo inadecuado de los intentos de renegociación por parte del software afectado cuando se utiliza OpenSSL 1.1.1 o posterior. Un atacante podría explotar esta vulnerabilidad enviando una solicitud con información maliciosa a un sistema objetivo, causando que el módulo mod_ssl entre en un bucle y no responda, provocando una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-0190 para esta vulnerabilidad.

Etiquetas: Apache, OpenSSL, Vulnerabilidad