Anunciada una vulnerabilidad en el servidor Apache HTTPD

13/07/2016
Se ha anunciado una vulnerabilidad en el servidor Apache HTTPD que permitiría saltar certificados cliente X509 cuando se hace uso del módulo experimental HTTP/2

Riesgo: Bajo Bajo
Sistemas afectados:

Servidor web Apache HTTPD (versiones 2.4.18-2.4.20)

Descripción:

Se ha anunciado una vulnerabilidad en el servidor Apache HTTPD que permitiría saltar certificados cliente X509 cuando se hace uso del módulo experimental HTTP/2.

El problema que causa la vulnerabilidad CVE-2016-4979 es que cuando se utiliza el módulo  mod_http2 el servidor web Apache HTTPD no valida los certificados de cliente X509 correctamente. De esta forma se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.

 Podéis encontrar toda la información de la noticia en el siguiente enlace.

Referencias (CVE):
Solución:

Actualizar a la versión 2.4.23 del servidor web Apache