Una vulnerabilidad en el módulo
mod_ssl de Apache HTTP Server permitiría que un atacante remoto no autenticado
genere una condición de denegación de servicio (DoS) en el sistema objetivo,
catalogada de Importancia: 4 - Alta
Recursos
afectados:
Apache HTTP Server versión 2.4.37 que
tiene habilitado el módulo mod_ssl al usar OpenSSL 1.1.1 o posterior.
Recomendación
Apache ha publicado la versión 2.4.38
de Apache HTTP Server para corregir esta vulnerabilidad accesible desde. https://www.apache.org/dist/httpd/Announcement2.4.html
Detalle
de vulnerabiliades
Esta vulnerabilidad se origina debido
al manejo inadecuado de los intentos de renegociación por parte del software
afectado cuando se utiliza OpenSSL 1.1.1 o posterior. Un atacante podría
explotar esta vulnerabilidad enviando una solicitud con información maliciosa a
un sistema objetivo, causando que el módulo mod_ssl entre en un bucle y no
responda, provocando una condición de denegación de servicio. Se ha reservado
el identificador CVE-2019-0190 para esta vulnerabilidad.
Una vulnerabilidad en el módulo
mod_ssl de Apache HTTP Server permitiría que un atacante remoto no autenticado
genere una condición de denegación de servicio (DoS) en el sistema objetivo.
Más
información
·
Apache
HTTP Server 2.4 vulnerabilities http://httpd.apache.org/security/vulnerabilities_24.html
·
Apache
HTTP Server mod_ssl Client Renegotiations Denial of Service Vulnerability https://tools.cisco.com/security/center/viewAlert.x?alertId=59504
Fuente: INCIBE
