Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Apache HTTP Server-en

Argitalpen data: 2019/04/02

Garrantzia: Handia

Kaltetutako baliabideak:

  • Apache HTTP Server, honako bertsioak: 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1 eta 2.4.0.

Azalpena:

Apachek 6 ahultasunen berri eman du, 3 larritasun altukoak eta beste 3 larritasun baxukoak.

Konponbidea:

Xehetasuna:

Kritikotasun altuko ahultasunak ondokoak dira:

  • Pribilegio gutxiko bigarren mailako prozesu edo azpi-prozesuetan event, worker edo prefork MPM (Prozesatze Anitzeko Moduluak) duen Apache HTTP Server-en exekutatzen den kodeak (script-en interpretatzaile batek exekutatutako script-ak barne) erasotzaile bati ahalbidetu liezaioke kode arbitrarioa exekutatzea root pribilegioekin markagailua manipulatuz. Ahultasun horretarako CVE-2019-0221 identifikatzailea erreserbatu da.
  • Azpi-prozesuen zerbitzari batean exekutatzen ari denean mod_auth_digest-ek duen sekuentzia baldintza batek kredentzial baliogarriak dituen erasotzaile bati ahalbidetu liezaioke autentifikazioa egitea beste erabiltzaile izen bat erabiliz eta sarbide kontroleko murrizpenak saihestuz. Ahultasun horretarako CVE-2019-0217 identifikatzailea erreserbatu da.
  • TLSv1.3rekin kokapenaren araberako bezeroaren ziurtagirien egiaztapena erabiltzean mod_ssl-ek duen akats batek Post-Handshake autentifikazioa onartzen duen erasotzaile bati ahalbidetu liezaioke sarbide kontrolaren murrizpenak saihestea. Ahultasun horretarako CVE-2019-0215 identifikatzailea erreserbatu da.

Gainerako ahultasunetarako ondoko identifikatzaileak erreserbatu dira: CVE-2019-0197, CVE-2019-0196 eta CVE-2019-0220.

Etiketak: Eguneraketa, Apache, Ahultasuna.