Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/07/2016
Anunciada una vulnerabilitat en el servidor Apache HTTPD
S’ha anunciat una vulnerabilitat en el servidor Apache HTTPD que permetria saltar certificats client X509 quan es fa ús del mòdul experimental HTTP/2Risc: Baix
El problema que causa la vulnerabilitat CVE-2016-4979 és que quan s’utilitza el mòdul mod_http2 el servidor web Apache HTTPD no valida els certificats de client X509 correctament. D’aquesta manera es pot accedir a un recurs que requereix un certificat de client vàlid sense aquesta credencial.
Podeu trobar tota la informació de la notícia en l'enllaç següent.
Sistemes Afectats:Servidor web Apache HTTPD (versions 2.4.18-2.4.20)
Referències:CVE-2016-4979
Solució:Actualitzar a la versió 2.4.23 del servidor web Apache
Notes:http://httpd.apache.org/download.cgi
Font: Hispasec una-al-día