Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/01/24

Garrantzia: Handia

Kaltetutako baliabideak:

• Apache HTTP Server, mod_ssl modulua gaituta duen 2.4.37 bertsioa OpenSSL 1.1.1 edo ondorengoa erabiltzean.

Azalpena:

Apache HTTP Server-en mod_ssl moduluak duen ahultasun bat baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek zerbitzuaren ukapen egoera (DoS) eragin lezake xede den sisteman.

Konponbidea:

• Ahultasun hori konpontzeko Apache-k Apache HTTP Server-en 2.4.38 bertsioa argitaratu du.

Xehetasuna:

• Ahultasun hau sortzen da OpenSSL 1.1.1 edo geroagokoa erabiltzean kaltetutako softwareak birnegoziazio saioen maneiu desegokia egiten duelako. Erasotzaile batek ahultasun hori balia lezake xede den sistema batera eskaera bat bidaliz asmo txarreko informazioarekin. Horrela mod_ssl modulua begiztan sartzea eta ez erantzutea eragingo luke, zerbitzuaren ukapen egoera sortuz. Ahultasun horretarako CVE-2019-0190 identifikatzailea erreserbatu da.

Etiketak: Apache, OpenSSL, Ahultasuna