Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/07/2016
Anunciada una vulnerabilidad en el servidor Apache HTTPD
Se ha anunciado una vulnerabilidad en el servidor Apache HTTPD que permitiría saltar certificados cliente X509 cuando se hace uso del módulo experimental HTTP/2Se ha anunciado una vulnerabilidad en el servidor Apache HTTPD que permitiría saltar certificados cliente X509 cuando se hace uso del módulo experimental HTTP/2.
El problema que causa la vulnerabilidad CVE-2016-4979 es que cuando se utiliza el módulo mod_http2 el servidor web Apache HTTPD no valida los certificados de cliente X509 correctamente. De esta forma se puede acceder a un recurso que requiere un certificado de cliente válido sin dicha credencial.
Podéis encontrar toda la información de la noticia en el siguiente enlace.
Sistemas Afectados:Servidor web Apache HTTPD (versiones 2.4.18-2.4.20)
Referencias:CVE-2016-4979
Solución:Actualizar a la versión 2.4.23 del servidor web Apache
Notas:http://httpd.apache.org/download.cgi