CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

22/06/2017

Se publican nuevas versiones de Apache HTTP Server

Las nuevas versiones publicadas corrigen cinco vulnerabilidades calificadas como importantes que podían provocar entre otras cosas condiciones de denegación de servicio.

Riesgo: Alto

Las nuevas versiones corrigen tres problemas, el primero de ellos residía en el uso de "ap_get_basic_auth_pw()" por módulos de terceras partes fuera de la fase de autenticación.

El segundo de los problemas provocaba situaciones de denegación de servicio por desreferencia de puntero nulo en mod_ssl durante una petición HTTP a un puerto HTTPS. Además de dos sobrelecturas de búfer en ap_find_token() y mod_mime.

El tercer problema provocaba una situación de denegación de servicio por desreferencia del puntero nulo en mod_http2 a través de peticiones http/2 maliciosas este problema solo afectaba a Apache 2.4.25.

Podéis encontrar el detalle de la noticia en el siguiente enlace.

Sistemas Afectados:

Versiones anteriores de Apache 2.4.26 y 2.2.33

Referencias:

CVE-2017-3167, CVE-2017-3169,CVE-2017-7668, CVE-2017-7679, CVE-2017-7659

Solución:

Actualizar a las nuevas versiones:

https://httpd.apache.org/download.cgi

Para la versión 2.2.33 , se han publicado parches individuales para cada una de las vulnerabilidades:

https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch
https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch

Notas:

Más información:

Apache httpd 2.4.26 Released 2017-06-19¶
http://www.apache.org/dist/httpd/Announcement2.4.html
Fixed in Apache httpd 2.2.33-dev
https://httpd.apache.org/security/vulnerabilities_22.html
Fixed in Apache httpd 2.4.26
https://httpd.apache.org/security/vulnerabilities_24.html
Changes with Apache 2.4.26
http://mirror.vorboss.net/apache//httpd/CHANGES_2.4.26
CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass
http://seclists.org/oss-sec/2017/q2/512
CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference
http://seclists.org/oss-sec/2017/q2/511
CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread
http://seclists.org/oss-sec/2017/q2/510
CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread
http://seclists.org/oss-sec/2017/q2/509
CVE-2017-7659: mod_http2 null pointer dereference
http://seclists.org/oss-sec/2017/q2/504

Fuente: Hispasec una-al-dia

CSIRT-CV