Apache ha
publicado 6 vulnerabilidades, 3 de severidad alta y 3 de criticidad baja,
catalogadas de Importancia: 4 - Alta
Recursos afectados:
Apache HTTP
Server, versiones 2.4.38; 2.4.37; 2.4.35; 2.4.34; 2.4.33; 2.4.30; 2.4.29;
2.4.28; 2.4.27; 2.4.26; 2.4.25; 2.4.23; 2.4.20; 2.4.18; 2.4.17; 2.4.16; 2.4.12;
2.4.10; 2.4.9; 2.4.7; 2.4.6; 2.4.4; 2.4.3; 2.4.2; 2.4.1; 2.4.0
Recomendación
·
Actualizar a la versión 2.4.39. http://httpd.apache.org/download.cgi#apache24
Detalle de vulnerabilidades
Las vulnerabilidades
de criticidad alta son:
1. En Apache HTTP Server con MPM (Módulos de MultiProcesamiento) event,
worker o prefork, el código que se ejecuta en procesos o subprocesos
secundarios con pocos privilegios (incluyendo scripts ejecutado por un intérprete
de scripts), podría permitir a un atacante ejecutar código arbitrario con los
privilegios de root manipulando el marcador. Se ha reservado el identificador
CVE-2019-0221 para esta vulnerabilidad.
2. Una condición de secuencia en mod_auth_digest cuando se está ejecutando
en un servidor de subprocesos, podría permitir a un usuario con credenciales
válidas autenticarse usando otro nombre de usuario y omitiendo las
restricciones de control de acceso. Se ha reservado el identificador
CVE-2019-0217 para esta vulnerabilidad.
3. Un error en mod_ssl al utilizar la verificación de certificados de
cliente por ubicacion con TLSv1.3, podría permitir a un atacante que soporte la
autenticación Post-Handshake eludir las restricciones de control de acceso. Se
ha reservado el identificador CVE-2019-0215 para esta vulnerabilidad.
4. Para el resto de vulnerabilidades, se han reservado los identificadores
CVE-2019-0197, CVE-2019-0196 y CVE-2019-0220.
Más información
- Apache HTTP Server 2.4 vulnerabilities http://httpd.apache.org/security/vulnerabilities_24.html
Fuente:
INCIBE