Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/07/2016
Se ha anunciado una vulnerabilidad en el servidor Apache HTTPD que permitiría saltar certificados cliente X509 cuando se hace uso del módulo experimental HTTP/2.
El problema que causa la vulnerabilidad CVE-2016-4979 es que cuando se utiliza el módulo mod_http2 el servidor web Apache HTTPD no valida los certificados de cliente X509 correctamente. De esta forma se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.
Podéis encontrar toda la información de la noticia en el siguiente enlace.
Sistemas Afectados:Servidor web Apache HTTPD (versiones 2.4.18-2.4.20)
Referencias:CVE-2016-4979
Solución:Actualizar a la versión 2.4.23 del servidor web Apache
Notas:http://httpd.apache.org/download.cgi